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Name 


nmap — 网 络 探测 工具 和 安全 / 端 口 打 描 器 


Synopsis 


nmap [ 扫描 类 型 ...] [ 选项 ] ( 扫描 目标 说 明 ) 


` 描述 


Nmap (“Network Mapper( 网 络 映射 器 )) 是 一 款 开 放 源 代码 的 网 络 探测 和 安全 审核 的 工具 。 
它 的 设计 目标 是 快速 地 扫描 大 型 网 络 ， 当 然 用 它 扫 描 单 个 主机 也 没有 问题 。Nmap 以 新 颖 的 
方式 使 用 原始 IP. 报 文 来 发 现 网 络 上 有 哪些 主机 ， 那 些 主机 提供 什么 ed 用 程序 名 和 版 
A) > AB 些 服务 运行 在 什么 操作 系统 (包括 版 本 信息 ) ， 它 们 使 用 什么 类 型 的 报 文 过 滤器 /防火 
墙 ， 以 及 一 堆 其 它 功能 。 虽 然 Nmap 通常 用 于 安全 审核 ， 许 多 RATRIERRAdSRAA 
它 来 做 一 些 日 常 的 工作 ， 比 如 查看 整个 网 络 的 信息 ， 管 理 服 务 升 级 计划 ， 以 及 监视 主机 和 服 
务 的 运行 。 


Nmap 输出 的 是 扫描 目标 的 列表 ， 以 及 每 个 目标 的 补充 信息 ， 至 于 是 哪些 信息 则 依赖 于 所 使 
用 的 选项 。“ 所 感 兴 趣 的 端口 表格 "是 其 中 的 关键 。 那 张 表 列 出 端口 号 ， 协 议 ， 服 务 名 称 和 状 
Ao 状态 可 能 是 open( 开 放 的 )，filtered( 被 过 滤 的 )， closed( 关 闭 的 )， 或 者 unfiltered( 未 被 过 
滤 的 )。 Open( 开 放 的 ) 意 味 着 目标 机 器 上 的 应 用 程序 正在 该 端口 监听 连接 / 报 文 。 pa u 
滤 的 ) 意味 着 防火 墙 ， 过 滤器 或 者 其 它 网 络 障碍 阻止 了 该 端口 被 访问 ，Nmap 无 法 得 知 它 
open( 开 放 的 ) 还 是 closed( 关 闭 的 )。 closed( 关 闭 的 ) 端口 没有 应 用 程序 在 它 上 面 监 听 ， 但 2 
他 们 随时 可 能 开放 。 当 端口 对 Nmap 的 探测 做 出 响应 ， 但 是 Nmap 无 法 确定 它们 是 关闭 还 是 
JF 放 时 ， 这 些 端口 就 被 认为 是 unfiltered( 未 被 过 滤 的 ) 如 果 Nmap 报告 状态 组 合 openlfiltered 
和 closedlfiltered 时 ， 那 说 明 Nmap 无 法 确定 该 端口 处 于 两 个 状态 中 的 哪 一 个 状态 。 当 要 求 
进行 版 本 探测 时 ， 端 口 表 也 可 以 包含 软件 的 版 本 信息 。 当 要 求 进行 IP 协议 扫描 时 (-SO)， 
Nmap 提供 关于 所 支持 的 IP 协议 而 不 是 正在 监听 的 端口 的 信息 。 


除了 所 感 兴 趣 的 端口 表 ，Nmap 还 能 提供 关于 目标 机 的 进一步 信息 ， 包 括 反 向 域名 ， 操 作 系 
统 猜 测 ， 设 备 类 型 ， 和 MAC 地 址 。 


一 个 典型 的 Nmap 扫描 如 Example 1, “一 个 典型 的 Nmap 扫描 "所 示 。 在 这 个 例子 中 ， 唯 一 的 
选 项 是 -A， 用 来 进行 操作 系统 及 其 版 本 的 探测 ，-T4 可 以 加 快 执行 速度 ， 接 着 是 两 个 目标 主 
机 名 


Example 1. 一 个 典型 的 Nmap 扫描 


# nmap -A -T4 scanme.nmap.org playground 


[Starting nmap ( http://www.insecure.org/nmap/](http://www.insecure.org/nmap/) ) 
Interesting ports on scanme.nmap.org (205.217.153.62): 

(The 1663 ports scanned but not shown below are in state: filtered) 
port STATE SERVICE VERSION 

22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 

53/tcp open domain 

70/tcp closed gopher 

80/tcp open http Apache httpd 2.0.52 ((Fedora)) 

113/tcp closed auth 

Device type: general purpose 

Running: Linux 2.4.X|2.5.X|2.6.X 

OS details: Linux 2.4.7 - 2.6.11° Linux 2.6.0 - 2.6.11 

Uptime 33° 908 days (since Thu Jul 21 03:38:03 2005) 


Interesting ports on playground ° nmap ° X g (192.168.0.40): 

(The 1659 ports scanned but not shown below are in state: closed) 
port STATE SERVICE VERSION 

135/tcp open msrpc Microsoft Windows RPC 

139/tcp open netbios-ssn 

389/tcp open ldap? 

! [image] (Nmap X £7 X74/Image_003.png) 

445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 
1002/tcp open windows-icfw? 

1025/tcp open msrpc Microsoft Windows RPC 

1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 

5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 
5900/tcp open vnc VNC (protocol 3.8) 

MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications) 

Device type: general purpose 

Running: Microsoft Windows NT/2K/XP 

OS details: Microsoft Windows XP Pro RC1+ through final release 
Service Info: OSs: Windows °’ Windows XP 


Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds 


E qe YE 

该 Nmap 参考 指南 中 文 版 由 Fei Yang fyang1024 (gmail.com 和 Lei Li lilei_721@6611.org 
从 美文 版 本 翻译 而 来 。 我 们 希望 这 将 使 全 世界 使 用 中 文 的 人 们 更 了 解 Nmap， 但 我 们 不 能 保 
证 该 译 本 和 官方 的 美文 版 本 一 样 完整 ， 也 不 能 保证 同步 更 新 。 它 可 以 在 Creative Commons 
Attribution License 下 被 修改 并 重新 发 布 。 


三 、 选 项 概要 


3 Nmap 不 带 选项 运行 时 ， 该 选项 概要 会 被 输出 ， 最 新 的 版 本 在 这 里 
http://www.insecure.org/nmap/data/nmap.usage.txt。 它 帮助 人 们 记 住 最 常用 的 选项 ， 但 不 能 
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Usage: nmap [Scan Type(s)] [Options] [target specification) 
TARGET SPECIFICATION: 
Can pass hostnames, IP addresses, networks, etc. 
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0-255.0-255.1-254 
-iL «inputfilename»: Input from list of hosts/networks 
-iR «num hosts»: Choose random targets 
--exclude «hosti[,host2][,host3],...»: Exclude hosts/networks 
--excludefile «exclude file»: Exclude list from file 
HOST DISCOVERY: 
-SL: List Scan - simply list targets to scan 
-sP: Ping Scan - go no further than determining if host is online 
-PO: Treat all hosts as online -- skip host discovery 
-PS/PA/PU [portlist]: TCP SYN/ACK or UDP discovery probes to given ports 
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes 
-n/-R: Never do DNS resolution/Always resolve [default: sometimes resolve] 
SCAN TECHNIQUES: 
-SS/ST/SA/SW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans 
-SN/SF/sX: TCP Null, FIN, and Xmas scans 
--scanflags <flags>: Customize TCP scan flags 
-sI <zombie host[:probeport]>: Idlescan 
-s0: IP protocol scan 
-b <ftp relay host>: FTP bounce scan 
PORT SPECIFICATION AND SCAN ORDER: 
-p <port ranges>: Only scan specified ports 
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80, 139, 8080 
-F: Fast - Scan only the ports listed in the nmap-services file) 
-r: Scan ports consecutively - don't randomize 
SERVICE/VERSION DETECTION: 
-sV: Probe open ports to determine service/version info 
--version-light: Limit to most likely probes for faster identification 
--version-all: Try every single probe for version detection 
--version-trace: Show detailed version scan activity (for debugging) 
OS DETECTION: 
-0: Enable OS detection 
--osscan-limit: Limit OS detection to promising targets 
--osscan-guess: Guess OS more aggressively 
TIMING AND PERFORMANCE: 
-T[0-6]: Set timing template (higher is faster) 
--min-hostgroup/max-hostgroup «msec»: Parallel host scan group sizes 
--min-parallelism/max-parallelism «msec»: Probe parallelization 
--min rtt timeout/max-rtt-timeout/initial-rtt-timeout «msec»: Specifies probe round t 
--host-timeout «msec»: Give up on target after this long 
--scan-delay/--max scan-delay «msec»: Adjust delay between probes 
FIREWALL/IDS EVASION AND SPOOFING: 
-f; --mtu «val»: fragment packets (optionally w/given MTU) 
-D <decoyi, decoy2[,ME],...>: Cloak a scan with decoys 
-S «IP Address»: Spoof source address 
-e «iface»: Use specified interface 
-g/--source-port «portnum»: Use given port number 
--data-length «num»: Append random data to sent packets 
--ttl «val»: Set IP time-to-live field 
--spoof-mac «mac address, prefix, or vendor name»: Spoof your MAC address 
OUTPUT: 
-ON/-0X/-0S/-o0G «file»: Output scan results in normal, XML, s|<rIpt kIddi3, and Grepa 
-OA «basename»: Output in the three major formats at once 
-v: Increase verbosity level (use twice for more effect) 
-d[level]: Set or increase debugging level (Up to 9 is meaningful) 
--packet-trace: Show all packets sent and received 
--iflist: Print host interfaces and routes (for debugging) 


--append-output: Append to rather than clobber specified output files 
--resume «filename»: Resume an aborted scan 
--stylesheet «path/URL»: XSL stylesheet to transform XML output to HTML 
--no stylesheet: Prevent Nmap from associating XSL stylesheet w/XML output 
MISC: 
-6: Enable IPv6 scanning 
-A: Enables OS detection and Version detection 
--datadir <dirname>: Specify custom Nmap data file location 
--send-eth/--send-ip: Send packets using raw ethernet frames or IP packets 
--privileged: Assume that the user is fully privileged 
-V: Print version number 
-h: Print this help summary page. 
EXAMPLES: 
nmap -v -A scanme.nmap.org 
nmap -v -sP 192.168.0.0/16 10.0.0.0/8 
nmap -v -iR 10000 -PO -p 80 








四 、 目标 说 明 


除了 选项 ， 所 有 出 现在 Nmap 命令 行 上 的 都 被 视 为 对 目标 主机 的 说 明 。 最 简单 的 情况 是 指定 
一 个 目标 IP 地 址 或 主机 名 。 


有 时 候 您 希望 扫描 整个 网 络 的 相 邻 主机 。 为 此 ，Nmap 支持 CIDR 风格 的 地 址 。 您 可 以 附加 


一 个 


/numbit 在 一 个 IP 地 址 或 主机 名 后 面 ，Nmap 将 会 扫描 所 有 和 该 参考 IP 地 址 具有 numbit 相 
同 比特 的 所 有 IP 地 址 或 主机 。 例 如 ，192.168.10.0/24 将 会 扫描 192.168.10.0 (二 进 制 格式 : 
11000000 10101000 00001010 00000000) 和 192.168.10.255 (— 3t 4] 4& X: 11000000 
10101000 


00001010 11111111) 之 间 的 256 台 主 机 。 192.168.10.40/24 将 会 做 同样 的 事情 。 假 设 主 机 
scanme.nmap.org 的 IP 地 址 是 205.217.153.62 > scanme.nmap.org/16 将 扫描 205.217.0.0 
和 205.217.255.255 之 间 的 65,536 个 IP 地 址 。 所 允许 的 最 小 值 是 /1， 这 将 会 扫描 半 个 互联 
网 。 最 大 值 是 /32， 这 将 会 扫描 该 主机 或 IP 地 址 ， 因 为 所 有 的 比特 都 固定 了 。 


CIDR 标志 位 很 简洁 但 有 时 候 不 够 灵活 例如 您 也 许 想 要 扫描 192.168.0.0/16 但 略 过 任何 以 .0 
或 者 .255 结束 的 IP 地 址 ， 因 为 它们 通常 是 广播 地 址 。Nmap 通过 入 位 字 节 地 址 范围 支持 这 样 
的 扫描 您 可 以 用 到 号 分 开 的 数字 或 范围 列表 为 |P 地址 的 每 个 八 位 字 节 指定 它 的 范围 。 例 如 ， 
192.188.0-255.1-254 Js GBA ELO fe 255 A REDE» ZSBTISRTESMS 

位 : 0-255.0-255.13.37 将 在 整个 互联 网 范围 内 扫描 所 有 以 13.37 结束 的 地 址 。 这 种 大 范围 的 
扫描 对 互联 网 调查 研究 也 许 有 用 。 


IPv6 地 址 只 能 用 规范 的 IPv6 地 址 或 主机 名 指定 。 CIDR 和 八 位 字 节 范围 不 支持 IPv6， 因 为 
它 们 对 于 IPv6 几乎 没什么 用 。 


Nmap 命令 行 接受 多 个 主机 说 明 ， 它 们 不 必 是 相同 类 型 。 命 令 


nmap scanme.nmap.org 192.168.0.0/8 10.0.0°1°3-7.0-255 将 和 您 预期 的 一 样 执 行 。 
虽然 目标 通常 在 命令 行 指定 ， 下 列 选项 也 可 用 来 控制 目标 的 选择 : 
-iL «inputfilename» (从 列表 中 输入 ) 


从 inputfilename 中 读 取 目标 说 明 。 在 命令 行 输入 一 堆 主机 名 显得 很 策 抽 ， 然 而 经 常 需要 这 
样 。 例 如 ， 您 的 DHCP 服务 器 可 能 导出 10,000 个 当前 租约 的 列表 ， 而 您 希望 对 它们 进行 da 
区。 如 果 您 不 是 使 用 未 授权 的 静态 IP 来 定位 主机 ， 或 许 您 想 要 扫描 所 有 IP 地 址 只 要 生成 要 
扫描 的 主机 的 列表 ， 用 -iL 把 文件 名 作为 选项 传 给 Nmap 。 列 表 中 的 项 可 以 是 Nmap 在 命令 行 
上 接受 的 任何 格式 (IP 地 址 ， 主 机 名 ，CIDR，IPv6， 或 者 入 位 字 节 范围 ) 每 一 项 必须 以 一 个 或 
多 个 空格 ， 制 表 符 或 换行 符 分 开 。 如 果 您 希望 Nmap 从 标准 输入 而 不 是 实际 文件 读 取 列表 ， 
您 可 以 用 一 个 连 字符 (-) 作 为 文件 名 。 


-iR «hostnum» (随机 选择 目标 ) 


对 于 互联 网 范围 内 的 调查 和 研究 ， 您 也 许 想 随机 地 选择 目标 。 hostnum 选项 告诉 Nmap 生成 
多 少 个 IP。 不 合 需 要 的 IP 如 特定 的 私有 ， 组 播 或 者 未 分 配 的 地 址 自动 略 过 。 选 项 0 意味 着 
永 无 休止 的 扫描 。 记 住 ， 一 些 网 管 对 于 未 授权 的 扫描 可 能 会 很 感冒 并 加 以 抱怨 。 使 用 该 选项 
的 后 果 自 负 ! 如 果 在 某 个 雨天 的 下 午 ， 您 觉得 实在 无 聊 ， 试 试 这 个 命令 nmap 

-SS -PS80 -iR 0 -p 80 随机 地 找 一 些 网 站 浏览 。 


-exclude <host1[，host2][，host3]，...> (排除 主机 /网 络 ) 如 果 在 您 指定 的 扫描 范围 有 一 些 主 
"e 四 络 不 是 您 的 目标 ， 那 就 用 该 选项 加 上 以 运 号 分 陋 的 列表 排 除 它 们 。 该 列表 用 正常 的 
Nmap 语法 ， 因 此 它 可 以 包括 主机 名 ，CIDR， 人 入 位 字 节 范围 等 等 。 当 您 希望 扫描 的 网 络 包 
人 钨 执行 关键 任务 的 服务 器 ， 已 知 的 对 端口 扫描 反 应 强烈 的 系统 或 者 被 其 它 人 看 管 的 子 网 时 ， 
这 也 许 有 用 。 


--excludefile <excludefile> (排除 文件 中 的 列表 ) 


这 和 --exclude 选项 的 功能 一 样 ， 只 是 所 排除 的 目标 是 用 以 换行 符 ， 空 格 ， 或 者 制 表 符 分 
的 excludefile 提供 的 ， 而 不 是 在 命令 行 上 输入 的 。 


z 


五 、 主机 发 现 


任何 网 络 探测 任务 的 最 初 几 个 步骤 之 一 就 是 把 一 组 IP 范围 (有 时 该 范围 是 巨大 的 ) 缩 小 为 一 列 
活动 的 或 者 您 感 兴趣 的 主机 。 扫 描 每 个 IP 的 每 个 端口 很 慢 ， 通 常 也 没 必 要 。 当然 ， 什 么 样 的 
主机 令 您 感 兴趣 主要 依赖 于 扫描 的 目的 。 网 管 也 许 只 对 运行 特定 服务 的 主机 感 兴趣 ， 而 从 事 

Sc 全 的 人 士 则 可 能 对 一 个 马桶 都 感 兴 趣 ， 只 要 它 有 IP 地 址 :-)。 一 个 系统 管理 员 也 许 仅 仅 使 

用 Ping 来 定位 内 网 上 的 主机 而 一 个 外 部 入 侵 测试 人 员 则 可 能 绞 尽 脑汁 用 各 种 方法 试图 突破 

防火 墙 的 封锁 。 


由 于 主机 发 现 的 需求 五 花 八 门 ，Nmap 提供 了 一 第 管 的 选项 来 定制 您 的 需求 。 主机 发 现 有 时 
候 也 叫做 ping 扫描 ， 但 它 远 远 超越 用 世人 器 知 的 ping 工具 发送 简单 的 ICMP 回声 请 求 报 
文 。 用 户 完全 可 以 通过 使 用 列表 扫描 (-SL) 或 者 通过 关闭 ping (-P0) 跳 过 ping 的 步骤 ， 也 可 以 
使 用 多 个 端口 把 TPC SYN/ACK > UDP 和 ICMP 任意 组 合 起 来 玩 一 玩 。 这 些 探测 的 目的 是 获 
得 响应 以 显示 某 个 IP 地 址 是 否 是 活动 的 (正在 被 某 主机 或 者 网 络 设备 使 用 )。 在 许多 网 络 

上 ， 在 给 定 的 时 间 ， 往 往 只 有 小 部 分 的 IP 地 址 是 活动 的 。 这 种 情况 在 基于 RFC1918 的 私有 
地 址 空间 如 10.0.0.0/8 尤其 普遍 。 那个 网 络 有 16,000,000 个 IP， 但 我 见 过 一 些 使 用 它 的 公 
司 连 1000 台 机 器 都 没有 主机 发 现 能 够 找到 零星 分 布 于 IP 地 址 海洋 上 的 那些 机 器 。 


如 果 没 有 给 出 主机 发 现 的 选项 ，Nmap 就 发 送 一 个 TCP ACK 报 文 到 80 端口 和 一 个 ICMP 回 
声 请 求 到 每 台 目 标 机 器 。 一 个 例外 是 ARP 扫描 用 于 局 域 网 上 的 任何 目标 机 器 。 对 于 非特 权 

UNIX shell 用 户 ， 使 用 connect() 系 统 调用 会 发 送 一 个 SYN 报 文 而 不 是 ACK 这 些 默 认 行 为 和 
使 用 -PA -PE 选项 的 效果 相同 。 扫描 局 域 网 时 ， 这 种 主机 发 现 一 般 够 用 了 ， 但 是 对 于 安全 审 
核 ， 建 议 进行 更 加 全 面 的 探测 。 


-p* 选项 (用 于 选择 ping 的 类 型 ) 可 以 被 结合 使 用 。 您 可 以 通过 使 用 不 同 的 TCP 端口 /标志 位 
和 ICMP 码 发 送 许多 探测 报 文 来 增加 穿 透 防守 严密 的 防火 墙 的 机 会 另外 要 注意 的 是 即使 您 指 
ZT 其它 -py 选项 ，ARP 发 现 ( -PR ) 对 于 局 域 网 上 的 目标 而 言 是 默认 行为 ， 因 为 它 总 是 更 
快 更 有 效 


下 列 选 项 控制 主机 发 现 。 
-sL (列表 扫描 ) 


列表 扫描 是 主机 发 现 的 退化 形式 ， 它 仅仅 列 出 指定 网 络 上 的 每 台 主 机 ， 不 发 送 任何 报 文 到 目 
标 主 机 。 默 认 情 况 下 ，Nmap 仍然 对 主机 进行 反 向 域名 解析 以 获取 它们 的 名 字 。 简 单 的 主机 
名 能 给 出 的 有 用 信息 常常 令 人 惊讶 。 例 如 ，fw.chi.playboy.com 是 花花 公子 芝加哥 办 公 室 的 
防火 墙 。 Nmap 最 后 还 会 报告 IP 地 址 的 总 数 。 列 表 扫 描 可 以 很 好 的 确保 您 拥 有 正确 的 目标 
IP 。 如 果 主 机 的 域名 出 乎 您 的 意料 ， 那 么 就 值得 进一步 检查 以 防 错误 地 扫 描 其 它 组 织 的 网 
络 。 


既然 只 是 打印 目标 主机 的 列表 像 其 它 一 些 高 级 功能 如 端口 扫描 操作 系统 探测 或 者 Ping 扫描 
的 选项 就 没有 了 “。 如 果 您 希望 关闭 ping 扫描 a 高 级 功能 ， 请 继续 阅读 关于 - 
PO 选项 的 介绍 。 


-sp (Ping 扫描 ) 


该 选项 告诉 Nmap 仅仅 进行 ping 扫描 (主机 发 现 )， 然 后 打印 出 对 扫描 做 出 响应 的 那些 E 

机 。 没 有 进一步 的 测试 (如 端口 扫描 或 者 操作 系统 探测 ) 。 这 比 列表 扫描 更 积极 ， 常 常用 于 
和 列表 扫描 相同 的 目的 。 它 可 以 得 到 些许 目标 网 络 的 信息 而 不 被 特别 注意 到 。 对 于 攻击 者 来 
说 了 解 多 少 主机 正在 运行 比 列表 扫描 提供 的 一 列 IP 和 主机 名 往往 更 有 价值 


系统 管理 员 往 往 也 很 喜欢 这 个 选项 。 它 可 以 很 方便 地 得 出 网 络 上 有 多 少 机 器 正在 运行 或 者 监 
视 服务 器 是 否 正常 运行 。 常 常 有 人 称 它 为 WALA ping， 它 比 ping 广播 地 址 更 可 F> AAH 
多 主机 对 广播 请 求 不 响应 。 


-sP 选项 在 默认 情况 下 ， 发 送 一 个 ICMP 回声 请 求 和 一 个 TCP 报 文 到 80 端口 。 如 果 非 特 
权 用 户 执 行 ， 就 发 送 一 个 SYN 报 文 (用 connect() 系 统 调用 ) 到 目标 机 的 80 端口 。 当 特 权 用 
户 扫 描 局 域 网 上 的 目标 机 时 ， 会 发 送 ARP 请 求 ( -PR )，， 除 非 使 用 了 --send-ip 选项 


-sP 选项 可 以 和 除 -P0) 之 外 的 任何 发 现 探 测 类 型 -P* 选项 结合 使 用 以 达到 更 大 的 灵活 性 
pt ic 
防火 墙 位 于 运行 Nmap 的 源 主机 和 目标 网 络 之 间 时 ， 推荐 使 用 那些 高 级 选项 。 否 则 ， 当 防火 
墙 捕获 并 丢弃 探测 包 或 者 响应 包 时 ， 一 些 主机 就 不 能 被 探测 到 。 


-PO (无 ping) 


该 选项 完全 跳 过 Nmap 发 现 阶段 。 通 常 Nmap 在 进行 高 强度 的 扫描 时 用 它 确定 正在 运行 的 
机 器 。 默认 情况 下 ，Nmap 只 对 正在 运行 的 主机 进 pru 度 的 探测 如 端口 扫描 ， 版 本 探测 ， 
或 者 操作 系统 探测 。 用 -PO0 禁止 主机 发 现 会 使 Nmap 对 每 一 个 指定 的 目标 IP 地 址 进 行 所 要 
求 的 扫描 。 所 以 如 果 在 命令 行 指定 一 个 B 类 目标 地 址 空间 (/16)， 所 有 65,536 个 IP 地 址 都 会 
被 扫描 。-P0 的 第 二 个 字符 是 数字 0 而 不 是 字母 O。 和 列表 扫描 一 样 ， 跳 过 正常 的 主机 发 
现 ， 但 不 是 打印 一 个 目标 列表 ， 而 是 继续 执行 所 要 求 的 功能 ， 就 好 像 每 个 IP 都 是 活动 的 。 


-PS [portlist] (TCP SYN Ping) 


该 选项 发 送 一 个 设置 了 SYN 标志 位 的 空 TCP 报 文 。 默 认 目 的 端口 为 80 (可 以 通过 改变 
nmap.h) 文件 中 的 DEFAULT TCP. PROBE PORT 值 进行 配置 ， 但 不 同 的 端口 也 可 以 作为 选 
项 指定 。 其 至 可 以 指定 一 个 以 过 号 分 隔 的 端 o 

-PS22 > 23 > 25 > 80 ° 113 > 1050 > 35000 )， 在 这 种 情况 下 ， 端口 会 被 并 发 地 扫描 


ee M Qd 标 端口 是 关闭 的 ， 一 个 RST (复位 ) & 
会 发 回来 。 如 果 碰 巧 端口 是 开放 的 ， 目 标 会 进行 TCP 三 步 握 手 的 第 二 步 ， 回 应 一 个 
SYN/ACK TCP 报 文 。 然 后 运行 Nmap eus 则 会 扼杀 这 个 正在 建立 的 连接 ， 发 送 一 个 RST 
而 非 ACK 报 文 ， 否 则 ， 一 个 完 A Se 运行 Nmap 的 机 器 而 不 是 
Nmap 本 身 响 应 的 ， 因 为 它 对 收 到 的 SYNIACK 感到 很 意外 。 


Nmap 并 不 关心 端口 开放 还 是 关闭 。 无 论 RST 还 是 SYN/ACK 响应 都 告诉 Nmap 该 主机 正在 
运行 。 


UNIX 机 器 上 ， 通 常 只 有 特权 用 户 root 能 否 发 送 和 接收 原始 的 TCP 报 文 。 因 此 作为 一 个 
通 的 方法 ， 对 于 非特 权 用 户 ， Nmap 会 为 每 个 目标 主机 进行 系统 调用 connect() ， 它 也 会 

M. SYN 报 文 来 尝试 建立 连接 。 如 果 connect() 迅 速 返 回 成 功 或 者 一 个 

ECONNREFUSED 失败 ， 下 面 的 TCP 堆栈 一 定 已 经 收 到 了 一 个 SYN/ACK 或 者 RST， 该 主 

机 将 被 标志 位 为 在 运行 。 如 果 连 接 超时 了 ， 该 主机 就 标志 位 为 down 掉 了 。 这 种 方法 也 用 于 

IPv6 连接 ， 因 为 Nmap 目前 还 不 支持 原始 的 IPv6 报 文 。 


-PA [portlist] (TCP ACK Ping) 


TCP ACK ping 和 刚才 讨论 的 SYN ping 相当 类 似 。 也 许 您 已 经 猜 到 了 ， 区 别 就 是 设置 TCP 
的 ACK 标志 位 而 不 是 SYN 标志 位 。ACK 报 文 表示 确认 一 个 建立 连接 的 尝试 ， 但 该 连接 尚 
未 完全 建立 。 所 以 远程 主机 应 该 总 是 回应 一 个 RST 报 文 ， 因 为 它们 并 没有 发 出 过 连接 AR 
到 运行 Nmap 的 机 器 ， 如 果 它 们 正在 运行 的 话 。 


-PA 选项 使 用 和 SYN 探测 相同 的 默认 端口 (80) 也 可 以 用 相同 的 格式 指定 目标 端口 列表 如 果 
非特 权 用 户 尝 试 该 功能 ， 或 者 指定 的 是 IPv6 目标 ， 前 面 说 过 的 connect() 方 法 将 被 使 用 。 这 
个 方法 并 不 完美 ， 因 为 它 实 际 上 发 送 的 是 SYN 报 文 ， 而 不 是 ACK 报 文 。 


提供 SYN 和 ACK 两 种 ping 探测 的 原因 是 使 通过 防火 墙 的 机 会 尽 可 能 大 。 许多 管理 员 会 配 
置 他 们 的 路 由 器 或 者 其 它 简单 的 防火 墙 来 封锁 SYN 报 文 ， 除 非 连接 目标 是 那些 公开 的 服务 
器 像 公司 网 站 或 者 邮件 服务 器 。 这 可 以 阻止 其 它 进入 组 织 的 连接 ， 同 时 也 允许 用 户 访问 互联 
网 。 这 种 无 状态 的 方法 几乎 不 占用 防火 墙 /路 由 器 的 资源 ， 因 而 被 硬件 和 软件 过 滤器 广泛 支 
持 。Linux Netfilter/iptables 防火 墙 软件 提供 方便 的 --syn 选项 来 实 现 这 种 无 状态 的 方法 。 当 
这 样 的 无 状态 防火 墙 规则 存在 时 ， 发 送 到 关闭 目标 端口 的 SYN ping 探测 (-PS) 很 可 能 被 封 
锁 。 这 种 情况 下 ，ACK 探测 格外 有 闪光 点 ， 因 为 它 正好 利用 了 这 样 的 规则 。 


另外 一 种 常用 的 m 1 来 封锁 非 预 期 的 报 文 。 这 一 特性 已 开始 只 dedi 

防火 墙 ， 但 是 这 些 年 类 它 越 来 越 普遍 了 。 Linux Netfilter/iptables 通过 --state 选项 kia. 
一 特性 ， 它 根据 连接 状态 把 报 文 os ° SYN 探测 更 有 可 能 用 于 这 TE 统 ， 由 于 没 头 没 
脑 的 ACK 报 文 通常 会 被 识别 成 伪造 的 而 丢弃。 解决 这 个 两 难 的 方法 是 通 过 即 指定 -ps 又 
指定 -PA 来 即 发 送 SYN 又 发 送 ACK。 


-PU [portlist] (UDP Ping) 


还 有 一 个 主机 发 现 的 选项 是 UDP ping， 它 发 送 一 个 空 的 (除非 指定 了 --data-length UDP 报 文 
到 给 定 的 端口 。 端 口 列表 的 格式 和 前 面 讨论 过 的 -PS 和 -PA 选项 还 是 一 样 。 如果 不 指定 端 
uc EAE 31338。 该 默认 值 可 以 通过 在 编译 时 改变 nmap.h 文件 中 的 

oe UDP PROBE PORT 值 进行 配置 。 黑 认 使 用 这 样 一 个 奇怪 的 端口 是 因为 对 开放 端 
a 这 种 扫描 一 般 都 不 受 欢迎 。 


如 果 目 标 机 器 的 端口 是 关闭 的 ，UDP 探测 应 该 马上 得 到 一 个 ICMP 端口 无 法 到 达 的 回应 报 
文 。 这 对 于 Nmap 意味 着 该 机 器 正在 运行 。 许 多 其 它 类 型 的 1CMP 错误 ， 像 主机 /网 络 无 法 
到 达 或 者 TTL 超时 则 表示 down 掉 的 或 者 不 可 到 达 的 主机 。 没有 回应 也 被 这 样 解释 。 如 果 到 
达 一 个 开放 的 端口 ， 大 部 分 服务 仅仅 忽略 这 个 空 报 文 而 不 做 任何 回应 。 这 就 是 为 什么 默认 探 
测 端口 是 31338 这 样 一 个 极 不 可 能 被 使 用 的 端口 。 少 数 服务 如 chargen 会 响 应 一 个 空 的 
UDP 报 文 ， 从 而 向 Nmap 表明 该 机 器 正在 运行 。 


该 扫描 类 型 的 主要 优势 是 它 可 以 穿越 只 过 滤 TCP 的 防火 墙 和 过 滤器 。 例 如 。 我 曾经 有 过 一 
个 Linksys BEFW11S4 无 线 宽带 路 由 器 。 默 认 情 况 下 ， 该 设备 对 外 的 网 卡 过 滤 所 有 TCP 3 
口 ， 但 UDP 探测 仍然 会 引发 一 个 端口 不 可 到 达 的 消息 ， 从 而 暴露 了 它 自己 。 


-PE; -PP; -PM (ICMP Ping Types) 


除了 前 面 讨论 的 这 些 不 常见 的 TCP fe UDP 主机 发 现 类 型 Nmap 也 能 发 送 世 人 沸 知 的 ping 程 
序 所 发 送 的 报 文 。Nmap 发 送 一 个 ICMP type 8 (回声 请 求 ) 报 文 到 目标 IP 地址 ， 期 待 从 运行 
的 主机 得 到 一 个 type 0 (回声 响应 ) 报 文 。 对 于 网 络 探索 者 而 言 ， 不 幸 的 是 ， 许 多 主机 和 防火 
墙 现 在 封锁 这 些 报 文 ， 而 不 是 按期 望 的 那样 响应 ， 参 见 RFC 1122。 因 此 


仅仅 ICMP 扫描 对 于 互联 网 上 的 目标 通常 是 不 够 的 。 但 对 于 系统 管理 员 监视 一 个 内 部 网 络 ， 
它们 可 能 是 实际 有 效 的 途径 。 使 用 -PE 选项 打开 该 回声 请 求 功能 。 


虽然 回声 请 求 是 标准 的 ICMP ping 查询 ，Nmap 并 不 止 于 此 。ICMP 标准 (RFC 792) 还 规 范 
了 时 间 戳 请求， 信息 请 求 request， 和 地 址 掩 码 请 求 ， 它 们 的 代码 分 别 是 13，15 和 17 虽然 
这 些 查 询 的 表面 目的 是 获取 信息 如 地 址 掩 码 和 当前 时 间 ， 它 们 也 可 以 很 容易 地 用 于 主机 发 
现 。 很 简单 ， 回 应 的 系统 就 是 在 运行 的 系统 。Nmap 目前 没有 实现 信息 请 求 报 文 因为 它们 还 
没有 被 广泛 支持 。RFC 1122 坚持 “主机 不 应 该 实现 这 些 消息 "。 时 间 惟 和 地 址 掩 码 查询 可 以 
分 别 用 -PP 和 -PM 选项 发 送 。 时 间 玲 响应 (ICMP 代码 14) 或 者 地 址 掩 码 响应 (代码 18) 表 示 主 
机 在 运行 。 当 管理 员 特 别 封锁 了 回声 请 求 报 文 而 忘 了 其 它 ICMP 查 询 可 能 用 于 相同 目的 时 ， 
这 两 个 查询 可 能 很 有 价值 。 


-PR (ARP Ping) 


最 常见 的 Nmap 使 用 场景 之 一 是 扫描 一 个 以 太 局 域 网 。 在 大 部 分 局 域 网 上 ， 特 别 是 那些 使 用 
基于 RFC1918 私有 地 址 范围 的 网 络 ， 在 一 个 给 定 的 时 间 绝 大 部 分 IP 地 址 都 是 不 使 用 的 。 当 
Nmap 试图 发 送 一 个 原始 IP 报 文 如 ICMP 回声 请 求 时 ， 操 作 系 统 必 须 确定 对 应 于 目标 IP 的 
硬件 地 址 (ARP)， 这 样 它 才能 把 以 太 帧 送 往 正确 的 地 址 。 这 一 般 比 较 慢 而 且 会 有 些 问题 ， 
为 操作 系统 设计 者 认为 一 般 不 会 在 短 时 间 内 对 没有 运行 的 机 器 作 几 百 万 次 的 ARP 请 求 。 


当 进行 ARP 扫描 时 ，Nmap 用 它 优化 的 算法 管理 ARP 请 求 。 当 它 收 到 响应 时 ，Nmap 其 至 
不 需要 担心 基于 IP 的 ping 报 文 ， 既 然 它 已 经 知道 该 主机 正在 运行 了 。 这 使 得 ARP 扫描 比 
基于 IP 的 扫描 更 快 更 可 靠 。 所 以 默认 情况 下 ， 如 果 Nmap 发 现 目标 主机 就 在 它 所 在 的 局 域 
网 上 ， 它 会 进行 ARP 扫描 。 即使 指定 了 不 同 的 ping 类 型 (如 -PI 或 者 -PS) > Nmap 也 会 对 
任何 相同 局 域 网 上 的 目标 机 使 用 ARP。 to RB A) RAM ARP 扫描 ， 指 定 --send-ip ° 


-n (不 用 域名 解析 ) 
告诉 Nmap 永 不 对 它 发 现 的 活动 IP. 地址 进行 反 向 域名 解析 。 既然 DNS 一 般 比较 慢 ， 这 可 以 
让 事情 更 快 些 。 

-R (为 所 有 目标 解析 域名 ) 

告诉 Nmap 永远 对 目标 IP 地 址 作 反 向 域名 解析 。 一 般 只 有 当 发 现 机 器 正在 运行 时 才 进 行 这 
项 操作 。 

--system dns (使 用 系统 域名 解析 器 ) 

默认 情况 下 ，Nmap 通过 直接 发 送 查 询 到 您 的 主机 上 配置 的 域名 服务 器 来 解析 域名 。 为 了 te 
高 性 能 ， 许 多 请 求 (一 般 几 十 个 ) 并 发 执行 。 如 果 您 希望 使 用 系统 自 带 的 解析 器 ， 就 指定 该 选 

( ) 

项 (通过 getnameinfo() 调 用 一 次 解析 一 个 IP) 除非 Nmap 的 DNS 代码 有 bug-- 如 果 是 这 样 ， 
请 联系 我 们 。 一 般 不 使 用 该 选项 ， 因 为 它 慢 多 了 。 系 统 解 析 器 总 是 用 于 IPv6 扫描 。 


虽然 Nmap 这 些 年 来 功能 越 来 越 多 ， 它 也 是 从 一 个 高 效 的 端口 扫描 器 开始 的 ， 并 且 那 仍然 是 
它 的 核心 功能 。 nmap target 这 个 简单 的 命令 扫描 主机 target 上 的 超过 1660 个 TCP 端口 。 
。 许 多 传统 的 端口 扫描 器 只 列 出 所 有 端口 是 开放 还 是 关闭 的 ，Nmap 的 信息 粒度 比 它们 要 细 
得 多 它 把 端口 分 成 六 个 状态 : open( 开 放 的 ) ，closed( 关 闭 的 ) ，filtered( 被 过 滤 的 ) > 
unfiltered( 未 被 过 滤 的 )，openlfiltered( 开 放 或 者 被 过 滤 的 )， 或 者 closedlfiltered( 关 闭 或 者 未 
被 过 渡 的 ) 。 


这 些 状 态 并 非 端 口 本 身 的 性 质 ， 而 是 描述 Nmap 怎样 看 待 它 们 。 例 如 ， 对 于 同样 的 目标 机 器 
的 135/tcp 端口 ， 从 同 网 络 扫描 显示 它 是 开放 的 ， 而 跨 网 络 作 完全 相同 的 扫描 则 可 能 显示 它 是 
filtered( 被 过 滤 的 )。 


Nmap 所 识别 的 6 个 端口 状态 。 open( 开 放 的 ) 


应 用 程序 正在 该 端口 接收 TCP 连接 或 者 UDP 报 文 发 现 这 一 点 常常 是 端口 扫描 的 主要 目 

标 。 安 全 意识 强 的 人 们 知道 每 个 开放 的 端口 都 是 攻击 的 入 口 。 攻 击 者 或 者 入 侵 测 试 者 想 要 发 
现 开 放 的 端口 。 而 管理 员 则 试图 关闭 它们 或 者 用 防火 墙 保 护 它们 以 免 妨 碍 了 合法 用 户 。 非 安 
全 扫描 可 能 对 开放 的 端口 也 感 兴趣 ， 因 为 它们 显示 了 网 络 上 那些 服务 可 供 使 用 


closed( 关 闭 的 ) 


关闭 的 端口 对 于 Nmap 也 是 可 访问 的 ( 它 接受 Nmap 的 探测 报 文 并 作出 响应 ) ， 但 没有 应 用 程 
序 在 其 上 监听 。 它们 可 以 显示 该 IP 地 址 上 (主机 发 现 ， 或 者 ping 扫描 ) 的 主机 正在 运行 up 也 
对 部 分 操作 系统 探测 有 所 帮助 。 因 为 关闭 的 关口 是 可 访问 的 ， 也 许 过 会 儿 值 得 再 扫描 一 下 ， 
可 能 一 些 又 开放 了 。 系统 管理 员 可 能 会 考虑 用 防火 墙 封锁 这 样 的 端口 。 那 样 他 们 就 会 被 显示 
为 被 过 滤 的 状态 ， 下 面 讨论 。 

filtered( 被 过 滤 的 ) 

由 于 包 过 滤 阻止 探测 报 文 到 达 端 口 ，Nmap 无 法 确定 该 端口 是 否 开 放 。 过 滤 可 能 来 自 专业 的 
防火 墙 设备 ， 路 由 器 规则 或 者 主机 上 的 软件 防火 墙 。 这 样 的 端口 让 攻击 者 感觉 很 挫折 因为 它 
们 几乎 不 提供 任何 信息 。 有 时 候 它们 响应 ICMP 错误 消息 如 类 型 3 代码 13 (无 法 到 达 目 标 : 
通信 被 管理 员 禁 止 )， 但 更 普遍 的 是 过 渡 器 只 是 丢弃 探测 帧 ， 不 做 任何 响应 这 迫使 Nmap € 
试 若干 次 以 访 万 一 探测 包 是 由 于 网 络 阻塞 丢弃 的 。 这 使 得 扫描 速度 明显 变 慢 。 


unfiltered( 未 被 过 滤 的 ) 


未 被 过 滤 状 态 意味 着 端口 可 访问 ， 但 Nmap 不 能 确定 它 是 开放 还 是 关闭 。 只 有 用 于 映射 防火 
墙 规则 集 的 ACK 扫描 才 会 把 端口 分 类 到 这 种 状态 。 用 其 它 类 型 的 扫描 如 窗口 扫描 ，SYN da 
描 ， 或 者 FIN 扫描 来 扫描 未 被 过 滤 的 端口 可 以 帮助 确定 端口 是 否 开 放 。 


openlfiltered( 开 放 或 者 被 过 滤 的 ) 


当 无 法 确定 端口 是 开放 还 是 被 过 滤 的 ，Namp 就 把 该 端口 划分 成 这 种 状态 。 开 放 的 端口 不 响 
应 就 是 一 个 例子 。 没 有 响应 也 可 能 意味 着 报 文 过 滤器 丢弃 了 探测 报 文 或 者 它 引 发 的 任 何 响 
应 。 因 此 Nmap 无 法 确定 该 端口 是 开放 的 还 是 被 过 滤 的 。UDP > IP 协议 ，FIN，Null 和 


Xmas 扫描 可 能 把 端口 上 入 此 类 。 
closed|filtered( X A 3i # 3& 3t 2& 65) 


该 状态 用 于 Nmap 不 能 确定 端口 是 关闭 的 还 是 被 过 滤 的 。 它 只 可 能 出 现在 IPID Idle 扫描 
中 。 


七 、 端 口 扫描 技术 


作为 一 个 修 车 新 手 ， 我 可 能 折腾 几 个 小 时 来 摸索 怎样 把 基本 工具 (锤子 ， 胶 带 ， 扳 子 等 ) 用 于 
F 头 的 任务 。 当 我 惨痛 地 失败 ， 把 我 的 老爷 车 拖 到 一 个 丨 正 的 技师 那儿 的 时 候 ， 他 总 是 在 他 
的 工 具 箱 里 翻 来 翻 去 ， 直 到 措 出 一 个 完美 的 工具 然后 似乎 不 费 吹 灰 之 力 搞定 它 。 端 口 扫描 的 
艺术 和 这 个 类 似 。 专 家 理解 成 打 的 扫描 技术 ， 选 择 最 适合 的 一 种 (或 者 组 合 ) 来 完成 给 定 的 任 
45 53 一 方面 ， 没 有 经 验 的 用 户 和 刚 入 门 者 总 是 用 默认 的 SYN 扫描 解决 每 个 问题 。 既 然 
Nmap 是 免费 的 掌握 端口 扫描 的 唯一 障碍 就 是 知识 。 这 当然 是 汽车 世界 所 不 能 比 的， 在 那 
里 ， 可 能 需要 高 超 的 技巧 才能 确定 您 需要 一 个 压 杆 弹 簧 压缩 机 ， 接 着 您 还 得 为 它 付 数 干 美 


Æ o 


大 部 分 扫描 类 型 只 对 特权 用 户 可 用 。 这 是 因为 他 们 发 送 接收 原始 报 文 ， 这 在 Unix 系统 需要 
root 权限 。 在 Windows 上 推荐 使 用 administrator 账户 ， 但 是 当 WinPcap 已 经 被 加 载 到 操作 
系统 时 非特 权 用 户 也 可 以 正常 使 用 Nmap 当 Namp 在 1997 年 发 布 时 需要 root 权限 是 一 个 
严重 的 局 限 因为 很 多 用 户 只 有 共享 的 shell 账户 。 现 在 ， 世 界 变 了 ， 计 算 机 便宜 了 ， 更 多 人 拥 
有 互联 网 连 接 ， 桌 面 UNIX 系统 (包括 Linux 和 MAC OS X) 很 普遍 了 。Windows 版 本 的 
Nmap 现在 也 有 了 ， 这 使 它 可 以 运行 在 更 多 的 桌面 上 。 由 于 所 有 这 些 原 因 ， 用 户 不 再 需要 用 
有 限 的 共享 shell 账户 运行 Nmap。 这 是 很 幸运 的 ， 因 为 特权 选项 让 Nmap 强大 得 多 也 灵活 
得 多 。 


虽然 Nmap 努力 产生 正确 的 结果 ， 但 请 记 住所 有 结果 都 是 基于 目标 机 器 (或 者 它们 前 面 的 防火 
墙 ) 返回 的 报 文 的 。。 这 些 主机 也 许 是 不 值得 信任 的 ， 它 们 可 能 响应 以 迷惑 或 误导 Nmap 的 报 
文 。 更 普遍 的 是 非 RFC 兼容 的 主机 以 不 正确 的 方式 响应 Nmap 探测 。FIN，Null 和 Xmas 72 
描 特 别 容易 遇 到 这 个 问题 。 这 些 是 特定 扫描 类 型 的 问题 ， 因 此 我 们 在 个 别 扫描 类 型 里 讨论 它 

们 。 


这 一 节 讨 论 Nmap 支持 的 大 约 十 几 种 扫描 技术 。 一 般 一 次 只 用 一 种 方法 ， 除 了 UDP 扫描 (- 
sU) 能 和 任何 一 种 TCP 扫描 类 型 结合 使 用 友情 提示 一 下 端口 扫描 类 型 的 选项 格式 是 -SC 其 
中 C 是 个 显眼 的 字符 ， 通 常 是 第 一 个 字符 。 一 个 例外 是 deprecated FTP bounce 扫描 (-b)。 
默认 情况 下 ，Nmap 执行 一 个 SYN 扫描 ， 但 是 如 果 用 户 没有 权限 发 送 原始 报 文 (在 UNIX 上 
需要 root 权限 ) 或 者 如 果 指 定 的 是 IPv6 目标 ，Nmap 调用 connect()。 本 节 列 出 的 扫描 中 ， 非 
特权 用 户 只 能 执行 connect() 和 ftp bounce 扫描 。 


-ss (TCP SYN 扫描 ) 


SYN 扫描 作为 默认 的 也 是 最 受 欢 迎 的 扫描 选项 ， 是 有 充分 理由 的 。 它 执行 得 很 快 ， 在 一 个 没 
有 入 侵 防 火 墙 的 快速 网 络 上 ， 每 秒 钟 可 以 扫描 数 千 个 端口 。 SYN 扫描 相对 来 说 不 张扬 KAR 
注意 到 ， 因 为 它 从 来 不 完成 TCP 连接 。 它 也 不 像 Fin/Null/Xmas > Maimon 和 Idle 扫描 依赖 
于 特定 平台 ， 而 可 以 应 对 任何 兼容 的 TCP 协议 栈 。 它 还 可 以 明确 可 靠 地 区 分 open( 开 放 的 )， 
closed( 关 闭 的 )， 和 filtered( 被 过 滤 的 ) 状态 


它 常常 被 称 为 半 开 放 扫 描 ， 因 为 它 不 打开 一 个 完全 的 TCP 连接 。 它 发 送 一 个 SYN 报 文 ， 就 
像 您 趴 的 要 打开 一 个 连接 ， 然 后 等 待 响 应 。 SYN/ACK 表示 端口 在 监听 (开放 )， 而 RST ( 复 
位 ) 表 示 没 有 监听 者 。 如 果 数 次 重 发 后 仍 没 响应 ， 该 端口 就 被 标记 为 被 过 滤 。 如 果 收 到 ICMP 
不 可 到 达 错 误 (类 型 3， 代 码 1，2，3，9，10， 或 者 13)， 该 端口 也 被 标记 为 被 过 滤 。 


-sT (TCP connect()43 4&) 


3 SYN 扫描 不 能 用 时 ，CP Connect() 扫 描 就 是 默认 的 TCP 扫描 。 当 用 户 没 有 权限 发 送 原 36 
报 文 或 者 扫描 IPv6 网 ， 就 是 这 种 情况 。 Instead of writing raw packets as most other 


scan types do > Nmap 通过 创建 connect() 系 da 用 要 求 操作 系统 和 目标 机 以 及 端口 建立 连 
接 ， 而 不 像 其 它 扫描 类 型 ee 这 是 和 Web 浏览 器 ，P2P 客户 端 以 及 大 多 数 


其 它 网 络 应 用 程序 用 以 建立 连接 一 样 的 高 层 系统 调用 它 是 叫做 Berkeley Sockets API 编程 接 
口 的 一 部 分 。Nmap AÈ API 获得 每 个 连接 尝试 的 状态 信息 ， 而 不 是 读 取 响应 的 原始 报 文 。 


3 SYN 扫描 可 用 时 ， 它 通常 是 更 好 的 选择 。 ba Nmap 对 高 层 的 connect() 调 用 比 对 原始 报 
文 控制 更 少 所 以 前 者 效率 较 低 该 系统 调用 完全 连接 到 开放 的 目标 端口 而 不 是 像 SYN 扫描 进 

行 半 开放 的 复位 。 这 不 仅 花 更 长 时 间 ， ER 同样 信息 ， 目 标 机 也 更 可 能 记录 下 
连接 。IDS( 入 侵 检 测 系统 ) 可 以 捕获 两 者 ， 但 大 部 分 机 器 没有 这 样 的 警报 系统 当 Nmap 连接 ， 
然后 不 发 送 数据 又 关闭 连接 ， 许 多 普通 UNIX 系统 上 的 服务 会 在 syslog 留 下 记录 ， 有 时 候 是 
一 条 加 密 的 错误 消息 。 此 时 ， 有 些 真 正 可 怜 的 服务 会 户 溃 ， 虽 然 这 不 常 发 生 。 如 果 管 理 员 在 

日 志 里 看 到 来 自 同一 系统 的 一 扒 连接 尝试 ， 她 应 该 知道 她 的 系统 被 扫描 了 


-su (UDP 扫描 ) 


虽然 互联 网 上 很 多 流行 的 服务 运行 在 TCP 协议 上 ，UDP 服务 也 不 少 。 DNS * SNMP ， 和 
DHCP (注册 的 端口 是 53，161/162， 和 0 的 三 个 。 因 为 UDP 扫描 一 般 较 慢 ， 
比 TCP dai E. Ma 该 人 员 急 略 这 些 端口 。 这 是 一 个 错误 ， 因 为 可 探测 的 UDP 服务 
相当 普遍 ， 攻 击 者 当然 不 会 忽略 整个 协议 。 所 幸 ，Nmap 可 以 帮助 记录 并 报告 UDP 端口 。 


UDP 扫描 用 -su 选项 激活 它 可 以 和 TCP 扫描 如 SYN 扫描 ( -ss ) 结 合 使 用 来 同时 检查 两 种 
协议 。 


UDP 扫描 发 送 空 的 (没有 数据 )JUDP oo ee 口 。 如 果 返 回 ICMP 端口 不 可 到 达 错 
(类 型 3， 代 码 3)， 该 端口 是 closed( 关 闭 的 )。 其它 ICMP 不 可 到 达 错 误 (类 型 3， 代码 1， 
2，9，10， 或 者 13) 表 明 该 端口 是 i 的 )。 偶 尔 地 ， 茶 服务 会 响应 一 个 UDP 报 
文 ， 证 明 该 端口 是 open( 开 放 的 )。 如 果 几 次 重 试 后 还 没有 响应 ， 该 端口 就 被 认为 是 
openlfiltered( 开 放 | 被 过 滤 的 )。 这 意味 着 该 端口 可 能 是 开放 的 ， 也 可 能 包 过 滤器 正在 封锁 通 
信 。 可 以 用 版 本 扫描 (-SV) 帮 助 区 分 趴 正 的 开放 端口 和 被 过 滤 的 端口。 


UDP 扫描 的 巨大 挑战 是 怎样 使 它 更 快速 。 开 放 的 和 被 过 滤 的 端口 很 少 响应 ， 让 Nmap 超时 然 
后 再 探测 ， 以 防 探测 帧 或 者 响应 丢失 。 关 闭 的 端口 常常 是 更 大 的 问题 。 它 们 一 般 发 回 一 个 
ICMP 端口 无 法 到 达 错 误 但 是 不 像 关闭 的 TCP 端口 响应 SYN 或 者 Connect 扫描 所 发 送 的 


RST 报 文 ， 许 多 主机 在 默认 情况 下 限制 ICMP 端口 不 可 到 达 消 息 。Linux 和 Solaris 对 此 特别 
严格 。 例 如 ，Linux 2.4.20 内 核 限制 一 秒 钟 只 发 送 一 条 目标 不 可 到 达 消 息 ( 见 net/ipv4/icmp ° 
C)? 


Nmap 探测 速率 限制 并 相应 地 减 慢 来 避免 用 那些 目标 机 会 丢弃 的 无 用 报 文 来 阻塞 网 络 。 不 幸 
的 是 ，Linux 式 的 一 秒 钟 一 个 报 文 的 限制 使 65,536 个 端口 的 扫描 要 花 18 小 时 以 上 。 加 速 
UDP 扫描 的 方法 包括 并 发 扫描 更 多 的 主机 ， 先 只 对 主要 端口 进行 快速 扫描 ， 从 防火 墙 后 面 扫 
描 ， 使 用 --host-timeout 跳 过 慢 速 的 主机 。 


-sN; -sF; -sx (TCP Null * FIN > and Xmas 扫描 ) 


这 三 种 扫描 类 型 (甚至 用 下 一 节 描 述 的 --scanflags 选项 的 更 多 类 型 ) 在 TCP RFC 中 RUT — 
个 微妙 的 方法 来 区 分 open( 开 放 的 ) 和 closed( 关 闭 的 ) 端 口 。 第 65 页 说 “如 果 [目标 ] 端 口 状态 是 
关闭 的 .... 进入 的 不 含 RST 的 报 文 导致 一 个 RST 响应 。” 接 下 来 的 一 页 讨论 不 设置 SYN ， 
RST， 或 者 ACK 位 的 报 文 发 送 到 开放 端口 : “理论 上 ， 这 不 应 该 发 生 ， 如 果 您 确实 收 到 了 ， 丢 
弃 该 报 文 ， 返 回 。” 


如 果 扫 描 系 统 遵 循 该 RFC， 当 端口 关闭 时 ， 作 何不 包含 SYN，RST， 或 者 ACK 位 的 报 文 会 
导致 一 个 RST 返回 ， 而 当 端 口 开放 时 ， 应 该 没有 任何 响应 。 只 要 不 包 念 SYN，RST ,或 者 
ACK， 任 何其 它 三 种 (FIN，PSH，and URG) 的 组 合 都 行 。Nmap 有 三 种 扫描 类 型 利用 这 一 点 


Null 扫描 ( -sn ) 不 设置 任何 标志 位 (tcp 标志 头 是 0) FIN 扫描 ( -sF ) 
RRE TCP FIN 标志 位 。 Xmas 扫描 (-sX) 
设置 FIN，PSH， 和 URG 标志 位 ， 就 像 点 亮 圣诞树 上 所 有 的 灯 一 样 。 


除了 探测 报 文 的 标志 位 不 同 ， 这 三 种 扫描 在 行为 上 完全 一 致 。 如 果 收 到 一 个 RST AL? Bain 
口 被 认为 是 closed( 关 闭 的 ) 而 没有 响应 则 意味 着 端口 是 openlfiltered( 开 放 或 者 被 过 滤 的 )。 如 
果 收 到 ICMP 不 可 到 达 错 误 ( 类 型 3， 代 号 1，2，3，9，10， 或 者 13)， 该 端口 就 被 标记 为 
被 过 滤 的 。 


这 些 扫描 的 关键 优势 是 它们 能 躲 过 一 些 无 状态 防火 墙 和 报 文 过 滤 路 由 器 。 另 一 个 优势 是 RH 
扫描 类 型 甚至 比 SYN 扫描 还 要 隐秘 一 些 。 但 是 别 依赖 它 -- 多 数 现代 的 IDS 产品 可 


以 发 现 它们 。 一 个 很 大 的 不 足 是 并 非 所 有 系统 都 严格 遵循 RFC 793。 许多 系统 不 管 端口 开放 
还 是 关闭 ， 都 响应 RST。 这 导致 所 有 端口 都 标记 为 closed( 关 闭 的 )。 这 样 的 操作 系 统 主要 有 
Microsoft Windows， 许 多 Cisco 设备 ，BSDI， 以 及 IBM OS/400。 但 是 这 种 扫 描 对 多 数 
UNIX 系统 都 能 工作 这 些 扫 描 的 另 一 个 不 足 是 它们 不 能 辨别 open( 开 放 的 ) 端 口 和 一 些 特定 的 
filtered( 被 过 滤 的 ) 端 口 ， 从 而 返回 openlfiltered( 开 放 或 者 被 过 滤 的 ) © 


-sa (TCP ACK 扫描 ) 


这 种 扫描 与 目前 为 止 讨论 的 其 它 扫描 的 不 同 之 处 在 于 它 不 能 确定 open( 开 放 的 ) 或 者 
openlfiltered( 开 放 或 者 过 滤 的 )) 端 口 。 它 用 于 发 现 防火 墙 规则 ， 确 定 它们 是 有 状态 的 还 是 无 状 
态 的 ， 哪 些 端口 是 被 过 滤 的 。 


ACK 扫描 探测 报 文 只 设置 ACK 标志 位 (除非 您 使 用 --scanflags) 当 扫 描 未 被 过 滤 的 系统 时， 
open( 开 放 的 ) 和 closed( 关 闭 的 ) 端口 都 会 返回 RST 报 文 。Nmap 把 它们 标记 为 unfiltered( 未 
被 过 滤 的 )， 意 思 是 ACK 报 文 不 能 到 达 ， 但 至 于 它们 是 open( 开 放 的 ) 或 者 closed( 关 闭 的 ) 无 
法 确定 。 不 响应 的 端口 或 者 发 送 特定 的 ICMP 错误 消息 (类 型 3， 代 号 1，2，3，9，10， 或 者 
13) 的 端口 ， 标 记 为 filtered( 被 过 滤 的 ) 。 


-sw (TCP 窗口 扫描 ) 


除了 利用 特定 系统 的 实现 细节 来 区 分 开放 端口 和 关闭 端口 ， 当 收 到 RST 时 不 总 是 打印 
unfiltered， 窗 口 扫 描 和 ACK 扫描 完全 一 样 。 它 通过 检查 返回 的 RST 报 文 的 TCP 窗口 域 做 
到 这 一 点 。 在 某 些 系统 上 ， 开 放 端 口 用 正 数 表示 窗口 大 小 (甚至 对 于 RST 报 文 ) 而 关闭 端口 的 
窗口 大 小 为 0。 因 此 ， 当 收 到 RST 时 ， 窗 口 扫 描 不 总 是 把 端口 标记 为 unfiltered 而 是 根据 
TCP 窗口 值 是 正 数 还 是 0， 分 别 把 端口 标记 为 open 或 者 closed 


该 扫描 依赖 于 互联 网 上 少数 系统 的 实现 细节 ， 因 此 您 不 能 永远 相信 它 。 不 支持 它 的 系统 会 通 
常 返 回 所 有 端口 closed。 当 然 ， 一 台 机 器 没有 开放 端口 也 是 有 可 能 的 。 如 果 大 部 分 被 扫描 的 
端口 是 closed， 而 一 些 常见 的 端口 (如 22，25，53) Æ filtered > KAA WIR THT (BR 
地 ， 系 统 甚至 会 显示 恰恰 相反 的 行为 。 如 果 您 的 扫描 显示 1000 个 开放 的 端口 和 3 个 关闭 的 
或 者 被 过 滤 的 端口 ， 那 么 那 3 个 很 可 能 也 是 开放 的 端口 。 


-sM (TCP Maimon 扫描 ) 


Maimon 扫描 是 用 它 的 发 现 者 Uriel Maimon 命名 的 。 他 在 Phrack Magazine issue #49 
(November 1996) 中 描述 了 这 一 技术 。 Nmap 在 两 期 后 加 入 了 这 一 技术 。 这 项 技术 和 Null 
FIN ， 以 及 Xmas 扫描 完全 一 样 ， 除 了 探测 报 文 是 FIN/ACK。 根 据 RFC 793 (TCP)， 无 论 端 
口 开放 或 者 关闭 ， 都 应 该 对 这 样 的 探测 响应 RST 报 文 。 然 而 ，Uriel 注意 到 如 果 端 口 开放 许 
多 基于 BSD 的 系统 只 是 丢弃 该 探测 报 文 。 


--scanflags (定制 的 TCP 扫描 ) 


ES] Nmap 高 级 用 户 不 需要 被 这 些 现成 的 扫描 类 型 束缚 --scanflags 选项 允许 您 通过 指定 
任意 TCP 标志 位 来 设计 您 自己 的 扫描 。 让 您 的 创造 力 流 动 ， 躲 开 那 些 仅 靠 本 手册 添 加 规则 的 
入 侵 检测 系统 ! 


--scanflags 选项 可 以 是 一 个 数字 标记 值 如 9 (PSH 和 FIN)， 但 使 用 字符 名 更 容易 些 。 只 要 
x URG > ACK > PSH? RST»? SYN? and FIN 的 任何 组 合 就 行 。 例 如 ，--Scanflags 
URGACKPSHRSTSYNFIN 设置 了 所 有 标志 位 ， 但 是 这 对 扫描 没有 太 大 用 处 。 标 志 位 的 顺序 
不 重要 。 


除了 设置 需要 的 标志 位 ， 您 也 可 以 设置 TCP 扫描 类 型 (如 -SA 或 者 -SF)。 那 个 基本 类 型 告 E 
Nmap 怎样 解释 响应 。 例 如 ，SYN 扫描 认为 没有 响应 意味 着 filtered 端口 ， 而 FIN 4a 描 则 认 
为 是 openlfiltered。 除 了 使 用 您 指定 的 TCP 标记 位 ，Nmap 会 和 基本 扫描 类 型 一 样 工作 。 如 
果 您 不 指定 基本 类 型 ， 就 使 用 SYN 扫描 。 


-sI «zombie host[:probeport]> (ldlescan) 


ik Fh ELA 243485 Zr UTE B eet IE) TCP 端口 育 扫 描 (SEHR UR ARCA fS 05. 实 IP 
地 址 发 送 到 目标 )。 相 反 ，side-channel 攻击 利用 zombie 主机 上 已 知 的 IP 2- E ID 序列 生成 

算法 来 窥探 目标 上 开放 端口 的 信息 。|DS 系统 将 显示 扫描 来 自 您 指定 的 zombie 机 (必须 运行 

并 且 符 合 一 定 的 标准 )。 这 种 奇妙 的 扫描 类 型 太 复杂 了 ， 不 能 在 此 完 全 描述 ， 所 以 我 写 一 篇 非 
正式 的 论文 ， 发 布 在 http://nmap.org/book/idlescan.html 。 


MT Mim c (n T e AMOS IP 地 址 发 送 任何 报 文 )， 该 扫描 类 型 可 以 建立 机 器 间 的 基于 IP 
的 信任 关系 。 端口 列表 从 zombie 主机 的 角度 。 显 示 开 放 的 端口 。 因 此 您 可 以 尝试 用 您 认为 
(通过 路 由 器 / 包 过 滤 规 则 ) 可 能 被 信任 的 zombies 扫描 目标 。 


如 果 您 由 于 IPID 改变 希望 探测 zombie 上 的 特定 端口 ， 您 可 以 在 zombie 主机 后 加 上 一 ^E 
号 和 端口 号 。 否则 Nmap 会 使 用 默认 端口 (80)。 


-so (IP 协议 扫描 ) 


IP 协议 扫描 可 以 让 您 确定 目标 机 支持 哪些 [P 协议 (TCP > ICMP ，IGMP， 等 等 )。 从 技术 上 
说 ， 这 不 是 端口 扫描 ， 既 然 它 遍历 的 是 IP 协议 号 而 不 是 TCP 或 者 UDP 端口 号 。 但 是 它 仍 
使 用 -p 选项 选择 要 扫描 的 协议 号 ， 用 正常 的 端口 表格 式 报 告 结果 ， 其 至 用 鼻 正 的 端 口 扫 描 
一 样 的 扫描 引擎 。 因 此 它 和 端口 扫描 非常 接近 ， 也 被 放 在 这 里 讨论 。 


除了 本 身 很 有 用 ， 协 议 扫描 还 显示 了 开源 软件 的 力量 。 尽 管 基本 想法 非常 简单 ， 我 过 去 从 没 
想 过 增加 这 一 功能 也 没收 到 任何 对 它 的 请 求 。 在 2000 年 夏天 ，Gerhard Rieger 孕育 了 这 个 
想法 ， 写 了 一 个 很 棒 的 补丁 程序 ， 发 送 到 nmap-hackers 邮件 列表 。 我 把 那个 补丁 加 入 了 
Nmap， 第 二 天 发 布 了 新 版 本 。 几 乎 没有 商业 软件 会 有 用 户 有 足够 的 热情 设计 并 贡 献 他 们 的 
改进 。 


协议 扫描 以 和 UDP 扫描 类 似 的 方式 工作 。 它 不 是 在 UDP 报 文 的 端口 域 上 循环 ， 而 是 在 IP 协 
议 域 的 8 位 上 循环 ， 发 送 IP 报 文 头 。 报 文 头 通常 是 空 的 ， 不 包含 数据 ， 甚 至 不 包含 所 申明 的 
协议 的 正确 报 文 头 TCP，UDP， 和 1CMP 是 三 个 例外 。 它 们 三 个 会 使 用 正常 的 协议 头 ， 因 为 
否则 某 些 系统 拒绝 发 送 ， 而 且 Nmap 有 元 数 创建 它们 。 协 议 扫 描 不 是 注意 ICMP 端口 不 可 到 
达 消 息 ， 而 是 ICMP 协议 不 可 到 达 消 息 。 如 果 Nmap 从 目标 主机 收 到 任何 协议 的 任何 响应 ， 
Nmap 就 把 那个 协议 标记 为 open。 ICMP 协议 不 可 到 达 错 误 ( 类 型 3， 代 号 2) 导致 协议 被 标 
记 为 closed。 其 它 ICMP 不 可 到 达 协 议 ( 类 型 3， 代 号 1，3，9，10， 或 者 13) 导致 协议 被 标 
15,73 filtered (虽然 同时 他 们 证 明 ICMP 是 open )。 如 果 重 试 之 后 仍 没有 收 到 响应 ， 该 协议 就 
被 标记 为 openlfiltered 


-b <ftp relay host> (FTP 弹跳 扫描 ) 


FTP 协议 的 一 个 有 趣 特征 (RFC 959) 是 支持 所 谓 代 理 ftp 连接 。 它 允许 用 户 连接 到 一 台 FTP 
服务 器 ， 然 后 要 求 文件 送 到 一 台 第 三 方 服务 器 。 这 个 特性 在 很 多 层次 上 被 滥用 ， 所 以 许多 服 
务 器 已 经 停止 支持 它 了 。 其 中 一 种 就 是 导致 FTP 服务 器 对 其 它 主 机 端口 扫描 。 只 要 请 求 FTP 
服务 器 轮流 发 送 一 个 文件 到 目标 主机 上 的 所 感 兴 趣 的 端口 。 错 误 消息 会 描述 端口 是 开放 还 是 
关闭 的 。 这 是 绕 过 防火 墙 的 好 方法 ， 因 为 FTP 服务 器 常常 被 置 于 可 以 访 问 比 Web 主机 更 多 
其 它 内 部 主机 的 位 置 。Nmap 用 -b 选项 支持 ftp 弹跳 扫描 。 参 数 格式 是 


username:password@server:port ° Server 是 某 个 脆弱 的 FTP 服务 器 的 名 字 或 者 IP 地址 。 
您 也 许可 以 省 略 username:password， 如 果 服 务 器 上 开放 了 匿名 用 户 (User:anonymous 
password:-wwwuser@)。 端 口号 (以 及 前 面 的 冒号 ) 也 可 以 省 略 ， 如 果 server 使 用 默认 的 FTP 
端口 (21)。 


4 Nmap1997 年 发 布 时 ， 这 个 弱点 被 广泛 利用 ， 但 现在 大 部 分 已 经 被 fix 了 。 脆 弱 的 服务 器 
仍然 存在 ， 所 以 如 果 其 它 都 失败 了 ， 这 也 值得 一 试 。 如 果 您 的 目标 是 绕 过 防火 墙 ， 扫 描 目 标 
网 络 上 的 开放 的 21 端口 (或 者 甚至 任何 ftp 服务 ， 如 果 您 用 版 本 探测 扫描 所 有 端 口 )， 然 后 对 
每 个 尝试 弹跳 扫描 。Nmap 会 告诉 您 该 主机 脆弱 与 否 。 如 果 您 只 是 试 着 玩 Nmap， 您 不 必 ( 事 
实 上 ， 不 应 该 ) 限 制 您 自己 。 在 您 随机 地 在 互联 网 上 寻找 脆弱 的 FTP 服务 器 时 考虑 一 下 系统 
管理 员 不 太 喜欢 您 这 样 滥用 他 们 的 服务 器 。 


八 、 端 口 说 明和 扫描 顺 友 


除了 所 有 前 面 讨论 的 扫描 方法 Nmap 提供 选项 说 明 那 些 端口 被 扫描 以 及 扫描 是 随机 还 是 顺序 
进行 。 默 认 情 况 下 ，Nmap 用 指定 的 协议 对 端口 1 到 1024 以 及 nmap-services 文件 中 列 出 
的 更 高 的 端口 在 扫描 。 


-p <port ranges> (只 扫描 指定 的 端口 ) 


该 选项 指明 您 想 扫描 的 端口 ， 和 履 盖 默认 值 。 单个 端口 和 用 连 字符 表示 的 端口 范围 (如 1-1023) 
都 可 以 。 范围 的 开始 以 及 /或 者 结束 值 可 以 被 省 略 ， 分别 导致 Nmap 使 用 1 和 65535。 所 以 
您 可 以 指定 -p- 从 端口 1 扫描 到 65535。 如 果 您 特别 指定 ， 也 可 以 扫描 端口 0。 AT IP 协议 
扫描 (-SO)， 该 选项 指定 您 布 望 扫描 的 协议 号 (0-255) 。 


当 既 扫描 TCP 端口 又 扫描 UDP 端口 时 ， 您 可 以 通过 在 端口 号 前 加 上 下 RA U: 指 定 协议 协 
议 限 定 符 一 直 有 效 您 直到 指定 另 一 个 。 例如， 参数 -p U:53，111，137， 下 21-25 80> 
139，8080 将 扫描 UDP 端口 53，111， 和 137， 同 时 扫描 列 出 的 TCP 端口 。 注 意 ， 要 既 扫 
#4 UDP 又 扫描 TCP， 您 必须 指定 -SU ， 以 及 至 少 一 个 TCP 扫描 类 型 (如 -SS，-SF ， 或 者 - 
ST)。 如 果 没 有 给 定 协议 限定 符 ， 端口 号 会 被 加 到 所 有 协议 列表 。 


-F (快速 (有限 的 端口 ) 扫描 ) 


在 nmap 的 nmap-services 文件 中 (对 于 -SO， 是 协议 文件 ) 指 定 您 想 要 扫描 的 端口 。 这 上 比 da 
描 所 有 65535 个 端口 快 得 多 。 因为 该 列表 包含 如 此 多 的 TCP 端口 (1200 多 )， 这 和 默认 的 
TCP 扫描 scan (大 约 1600 个 端口 ) 速 度 差别 不 是 很 大 。 如 果 您 用 --datadir 选项 指定 您 自己 的 
小 小 的 nmap-services 文件 ， 差 别 会 很 惊人 。 


-r (不 要 按 随 机 顺序 扫描 端口 ) 


默认 情况 下 ，Nmap 按 随机 顺序 扫描 端口 (除了 出 于 效率 的 考虑 ， 常 用 的 端口 前 移 ) 。 这 种 随 
机 化 通常 都 是 受 欢迎 的 ， 但 您 也 可 以 指定 -r 来 顺序 端口 扫描 。 


九 、 服 务 和 版 本 探测 


把 Nmap 指向 一 个 远程 机 器 ， 它 可 能 告诉 您 39 v 25/tcp * 80/tcp > fe 53/udp 是 开放 的 。 使 用 
包 含 大 约 2,200 个 著名 的 服务 的 nmap-services 数据 库 ，Nmap 可 以 报告 那些 端口 可 能 分 别 
对 应 于 一 个 邮件 服务 器 (SMTP) web 服务 器 (HTTP) 和 域名 服务 器 (DNS) 这 种 查询 通常 是 正 
确 的 -- 事实 上 ， 绝 大 多 数 在 TCP 端口 25 监听 的 守护 进程 是 邮件 服务 器 。 然 而 ， 您 不 应 该 把 
赌注 押 在 这 上 面 ! 人 们 完全 可 以 在 一 些 奇 怪 的 端口 上 运行 服务 。 


即使 Nmap 是 对 的 ， 假 设 运行 服务 的 确实 是 SMTP，HTTP 和 DNS， 那 也 不 是 特别 多 的 信 
息 。 当 为 您 的 公司 或 者 客户 作 安 全 评估 (或 者 甚至 简单 的 网 络 明细 清单 ) 时 ， 您 确实 想 知道 正 
在 运行 什么 邮件 和 域名 服务 器 以 及 它们 的 版 本 。 有 一 个 精确 的 版 本 号 对 了 解 服务 器 有 什么 漏 
洞 有 巨大 帮助。 版 本 探测 可 以 帮 您 获得 该 信息 。 


在 用 某 种 其 它 类 型 的 扫描 方法 发 现 TCP 和 /或 者 UDP 端口 后 ， 版 本 探测 会 询问 这 些 端口 ， 确 
Z 到 底 什 么 服务 正在 运行 。nmap-service-probes 数据 库 包 含 查询 不 同 服务 的 探测 报 文 和 解 
析 识别 响应 的 匹配 表达 式 。Nmap 试图 确定 服务 协议 (如 ftp，ssh，telnet，http)， 应 用 程序 
名 (如 1SC Bind > Apache httpd > Solaris telnetd)， 版 本 号 ， 主 机 名 ， 设 备 类 型 (如 打印 机 ， 
路 由 器 )， 操 作 系统 家 族 (如 Windows，Linux) 以 及 其 它 的 细节 ， 如 如 是 否 可 以 连接 X server 
SSH 协议 版 本 ， 或 者 KaZaA 用 户 名 )。 当 然 ， 并 非 所 有 服务 都 提供 所 有 这 些 信息 。 如果 
Nmap 被 编译 成 支持 OpenSSL ， 它 将 连接 到 SSL 服务 器 ， 推 测 什么 服务 在 加 密 层 后 面 监 

听 。 当 发 现 RPC 服务 时 ，Nmap RPC grinder (-SR) 会 自动 被 用 于 确定 RPC 程序 和 它 的 版 本 
号 。 如 果 在 扫描 X UDP 端口 后 仍然 无 法 确定 该 端口 是 开放 的 还 是 被 过 滤 的 ， 那 么 该 端口 
状态 就 被 标记 为 openlfiltered。 版 本 探测 将 试图 从 这 些 端口 引发 一 个 响应 (就 像 它 对 开放 端口 
做 的 一 样 )， 如 果 成 功 ， 就 把 状态 改 为 开放 。 open|filtered TCP 端口 用 同样 的 方法 对 待 。 注 
x: Nmap -A 选项 在 其 它 情 况 下 打开 版 本 探测 。 有 一 篇 关于 版 本 探测 的 原理 ， 使 用 和 定制 的 
文章 在 http://www.insecure.org/nmap/vscan/ ° 


3 Nmap 从 某 个 服务 收 到 响应 ， 但 不 能 在 数据 库 中 找到 匹配 时 ， 它 就 打印 一 个 特殊 的 
fingerprint 和 一 个 URL 给 您 提交 ， 如 果 您 确实 知道 什么 服务 运行 在 端口 。 请 花 两 分 钟 提交 您 
的 发 现 ， 让 每 个 人 受益 。 由 于 这 些 提交 ，Nmap 有 350 种 以 上 协议 如 smtp * ftp > http 等 的 
大 约 3，000 条 模式 匹配 。 


用 下 列 的 选项 打开 和 控制 版 本 探测 。 

-sV (版 本 探测 ) 

打开 版 本 探测 。 您 也 可 以 用 -A 同时 打开 操作 系统 探测 和 版 本 探测 。 
--allports (不 为 版 本 探测 排除 任何 端口 ) 


默认 情况 下 ，Nmap 版 本 探测 会 跳 过 9100 TCP 端口 ， 因 为 一 些 打 印 机 简单 地 打印 送 到 该 端 
口 的 任何 数据 ， 这 回 导 致 数 十 页 HTTP get 请 求 ， 二 进 制 SSL 会 话 请 求 等 等 被 打印 出 来 这 一 
行为 可 以 通过 修改 或 删除 nmap-service-probes 中 的 Exclude 指示 符 改变 您 也 可 以 不 理会 任 


何 Exclude 指示 符 ， 指 定 --allports 扫描 所 有 端口 
--version-intensity «intensity» (设置 版 本 扫描 强度 ) 


当 进 行 版 本 扫描 (-sSV) 时 ，nmap 发 送 一 系列 探测 报 文 ， 每 个 报 文 都 被 赋予 一 个 1 到 9 之 间 的 
值 。 被 赋予 较 低 值 的 探测 报 文 对 大 范围 的 常见 服务 有 效 ， 而 被 赋予 较 高 值 的 报 文 一 般 没什么 
用 。 强 度 水 平 说 明了 应 该 使 用 哪些 探测 报 文 。 数 值 越 高 ， 服 务 越 有 可 能 被 正确 识别 。 然 而 ， 
高 强度 扫描 花 更 多 时 间 。 强 度 值 必须 在 0 和 9 之 间 。 默认 是 7。 当 探测 报 文通 过 nmap- 
service-probes ports 指示 符 注册 到 目标 端口 时 ， 无 论 什么 强度 水 平 ， 探 测报 文 都 会 被 尝试 。 
这 保证 了 DNS 探测 将 永远 在 任何 开放 的 53 端口 尝试 ，SSL 探测 将 在 443 端口 尝试 ， 等 


AR 


AF o 
--version-light (打开 轻 量 级 模式 ) 


这 是 --version-intensity 2 的 方便 的 别名 。 轻 量 级 模式 使 版 本 扫描 快 许 多 ， 但 它 识别 服务 的 可 
能 性 也 略微 小 一 点 。 


--version-all (尝试 每 个 探测 ) 
--version-intensity 9 的 别名 ， 保 证 对 每 个 端口 尝试 每 个 探测 报 文 。 
--version-trace (跟踪 版 本 扫 描 活 动 ) 


这 导致 Nmap 打印 出 详细 的 关于 正在 进行 的 扫描 的 调试 信息 。 它 是 您 用 --packet-trace 所 得 
到 的 信息 的 子 集 。 


-sr (RPC 扫描 ) 


这 种 方法 和 许多 端口 扫描 方法 联合 使 用 。 它 对 所 有 被 发 现 开 放 的 TCP/UDP 端口 执行 
SunRPC 程序 NULL 命令 ， 来 试图 确定 它们 是 否 RPC 端口 ， 如 果 是 ， 是 什么 程序 和 版 本 号 
因此 您 可 以 有 效 地 获得 和 rpcinfo -p 一 样 的 信息 ， 即 使 目标 的 端口 映射 在 防火 墙 后 面 (或 者 被 
TCP 包装 器 保护 ) Decoys 目前 不 能 和 RPC scan 一 起 工作 这 作为 版 本 扫描 (-SV) 的 一 部 分 自 
动 打 开 。 由 于 版 本 探测 包括 它 并 且 全 面 得 多 ，-SR 很 少 被 需要 。 


十 、 操 作 系统 探测 


Nmap 最 著名 的 功能 之 一 是 用 TCPJ/IP 协议 栈 fingerprinting 进行 远程 操作 系统 探测 。Nmap 

发 送 一 系列 TCP 和 UDP 报 文 到 远程 主机 ， 检 查 响应 中 的 每 一 个 比特 。 在 进行 一 打 测 试 如 

TCP ISN 采样 ，TCP 选项 支持 和 排序 ，|PID 采样 ， 和 初始 窗口 大 小 检查 之 后 ，Nmap 把 结果 

和 数据 库 nmap-os-fingerprints 中 超过 1500 个 已 知 的 操作 系统 的 fingerprints 进行 比较 如 果 

有 匹配 就 打印 出 操作 系统 的 详细 信息 每 个 fingerprint 包括 一 个 自由 格式 的 关于 OS 的 描述 文 

和 一 个 分 类 信息 ， 它 提供 供应 商 名 称 ( 如 Sun)， 下 面 的 操作 系统 (如 Solaris) > OS 版 本 (如 
10)， 和 设备 类 型 (通用 设备 ， 路 由 器 ，switch， 游 戏 控制 台 ， 等 )。 


如 果 Nmap 不 能 猜 出 操作 系统 ， 并 且 有 些 好 的 已 知 条 件 (如 至 少 发 现 了 一 个 开放 端口 和 一 个 关 
闭 端口 ) ， Nmap 会 提供 一 个 URL， 如 果 您 确 知 运行 的 操作 系统 ， 您 可 以 把 fingerprint 提交 到 
那个 URL。 这 样 您 就 扩大 了 Nmap 的 操作 系统 知识 库 ， 从 而 让 每 个 Nmap 用 户 都 受益 。 


操作 系统 检测 可 以 进行 其 它 一 些 测试 ， 这 些 测试 可 以 利用 处 理 过 程 中 收集 到 的 信息 。 例 如 运 

fr 时 间 检 测 ， 使 用 TOP 时 间 改 选项 (RFC 1323) 来 估计 主机 上 次 重启 的 时 间 ， 这 仅 适 用 于 提 
供 这 类 信息 的 主机 。 另 一 种 是 TCP 序列 号 预测 分 类 ， 用 于 测试 针对 远程 主机 建立 一 个 伪造 

&j TCP 连接 的 可 e ues IP 地 址 的 可 信 关 系 (rlogin， 防 火 墙 过 滤 等 ) 或 者 
隐 含 源 地 址 的 攻击 非常 。 这 一 类 哄骗 攻击 现在 很 少见 ， 但 一 些 主机 仍然 存在 这 方面 的 漏 
洞 。 实 际 的 难 B E ， 因 此 可 能 会 有 一些 波动 。 通 常 采 用 美国 的 分 类 较 好 ， 

如 “worthy challenge” 或 者 “trivial joke”。 在 详细 模式 (-v) 下 只 以 普通 的 方式 输出 ， 如 果 同 时 使 
用 -O， 还 报告 IPID 序列 产生 号 。 很 多 主机 的 序列 号 是 “增加 ”类 别 ， 即 在 每 个 发 送 包 的 IP X 

中 增加 ID 域 值 ， 这 对 一 些 先进 的 信息 收集 和 哄骗 攻击 来 说 是 个 漏洞 。 


http://www.insecure.org/nmap/osdetect/ 文档 使 用 多 种 语言 描述 了 版 本 检测 的 方式 、 使 用 和 
定制 。 


采用 下 列 选项 启用 和 控制 操作 系统 检测 : 

-0 (启用 操作 系统 检测 ) 

也 可 以 使 用 -A 来 同时 启用 操作 系统 检测 和 版 本 检测 。 
--osscan-limit (针对 指定 的 目标 进行 操作 系统 检测 ) 


如 果 发 现 一 个 打开 和 关闭 的 TCP 端口 时 ， 操 作 系 统 检 测 会 更 有 效 。 采 用 这 个 选项 ，Nmap 只 
eu de CN 系统 检测 ， 这 样 可 以 节约 时 间 ， 特 别 在 使 用 -P0 扫描 多 个 
机 时 。 这 个 选项 仅 在 使 用 -O 或 -A 进行 操作 系统 检测 时 起 作用 。 

--osscan-guess; --fuzzy (推测 操作 系统 检测 结果 ) 


3 Nmap 无 法 确定 所 检测 的 操作 系统 时 ， 会 尽 可 能 地 提供 最 相近 的 匹配 ，Nmap 默认 进 
种 匹配 ， 使 用 上 述 任 一 个 选项 使 得 Nmap 的 推测 更 加 有 效 。 


T—o NB RE 


Nmap 开发 的 最 高 优先 级 是 性 能 。 在 本 地 网 络 对 一 个 主机 的 默认 扫描 (nmap hostname) € € 
1/5 秒 。 而 仅仅 瞬 眼 的 时 间 ， 就 需要 扫描 上 万 甚至 几 十 万 的 主机 。 此 外 ， 一 些 特 定 的 扫描 选项 
会 明 显 增加 扫描 时 间 ， 如 UDP 扫描 和 版 本 检测 。 同 样 ， 防 火 墙 配置 以 及 特殊 的 响应 速度 限制 
也 会 增 加 时 间 。Nmap 使 用 了 并 行 算 法 和 许多 先进 的 章法 来 加 速 扫描 ， 用 户 对 Nmap 如 何 工 
作 有 最 终 的 控制 权 。 高 级 用 户 可 以 仔细 地 调整 Nmap 命令 ， 在 满足 时 间 要 求 的 同时 获得 他 们 
所 关心 的 信息 。 


改善 扫描 时 间 的 技术 有 : 忽略 非 关 键 的 检测 、 升 级 最 新 版 本 的 Nmap( 性 能 增强 不 断 改 善 )。 优 
化 时 间 参 数 也 会 带 来 实质 性 的 变化 ， 这 些 参数 如 下 。 


--min-hostgroup «milliseconds»; --max-hostgroup <milliseconds> (调整 并 行 扫描 组 的 大 小 ) 


Nmap 具有 并 行 扫描 多 主机 端口 或 版 本 的 能 力 ，Nmap 将 多 个 目标 IP 地 址 空间 分 成 组 ， 然 后 
在 同一 时 间 对 一 个 组 进行 扫描 。 通 常 ， 大 的 组 更 有 效 。 缺 点 是 只 有 当 整 个 组 扫描 结束 后 才 会 
提供 主机 的 扫描 结果 。 如 果 组 的 大 小 定义 为 50， 则 只 有 当前 50 个 主机 扫描 结束 后 才能 得 到 
报告 (详细 模式 中 的 补充 信息 除外 )。 


默认 方式 下 ，Nmap 采取 折 户 的 方法 。 开 始 扫 描 时 的 组 较 小 ， 最 小 为 5， 这样 便于 尽快 产 生 
结果 ; 随后 增长 组 的 大 小 ， 最 大 为 1024。 确 切 的 大 小 依赖 于 所 给 定 的 选项 。 为 保证 效 率 ， 针 
对 UDP 或 少量 端口 的 TCP 扫描 ，Nmap 使 用 大 的 组 。 


--max-hostgroup 选项 用 于 说 明 使 用 最 大 的 组 Nmap 不 会 超出 这 个 大 小 --min-hostgroup 选项 
说 明 最 小 的 组 ，Nmap 会 保持 组 大 于 这 个 值 。 如 果 在 指定 的 接口 上 没有 足够 的 目标 主 MAM 
足 所 指定 的 最 小 值 ， Nmap 可 能 会 采用 上 比 所 指定 的 值 小 的 组 。 这 两 个 参数 虽然 很 少 使用， 但 
都 用 于 保持 组 的 大 小 在 一 个 指定 的 范围 之 内 。 


这 些 选 项 的 主要 用 途 是 说 明 一 个 最 小 组 的 大 小 ， 使 得 整个 扫描 更 加 快速 。 通 常 选择 256 来 扫 
& C 类 网 段 。 对 于 端口 数 较 多 的 扫描 ， 超 出 该 值 没有 意义 。 对 于 端口 数 较 少 的 扫描 2048 或 
更 大 的 组 大 小 是 有 帮助 的 。 


--min-parallelism «milliseconds»; --max-parallelism <milliseconds> ( 调 整 探测 报 文 的 并 行 
度 ) 

这 些 选 项 控制 用 于 主机 组 的 探测 报 文 数 量 ， 可 用 于 端口 扫描 和 主机 发 现 。 默 认 状 态 下 ， 
Nmap 基于 网 络 性 能 计算 一 个 理想 的 并 行 度 ， 这 个 值 经 常 改变 。 如 果 报 文 被 丢弃 ，Nmap 降 
低速 度 ， 探 测报 文 数 量 减 少 。 随 着 网 络 性 能 的 改善 ， 理 想 的 探测 报 文 数 量 会 缓慢 增加 这 些 选 
项 确定 这 个 变量 的 大 小 范围 。 软 认 状态 下 ， 当 网 络 不 可 靠 时 ， 理 想 的 并 行 度 值 可 能 为 1， 在 
好 的 条 件 下 ， 可 能 会 增长 至 几 百 。 


最 常见 的 应 用 是 --min-parallelism 值 大 于 1， 以 加 快 性 能 不 佳 的 主机 或 网 络 的 扫描 。 这 个 选项 
具有 风险 ， 如 果 过 高 则 影响 准确 度 ， 同 时 也 会 降低 Nmap 基于 网 络 条 件 动 态 控制 并 行 度 的 能 
力 。 这 个 值 设 为 10 较为 合适 ， 这 个 值 的 调整 往往 作为 最 后 的 手段 。 


--max-parallelism 选项 通常 设 为 1， 以 防止 Nmap 在 同一 时 间 向 主机 发 送 多 个 探测 报 文 和 选 
if--scan-delay 同时 使 用 非常 有 用 ， 虽 然 这 个 选项 本 身 的 用 途 已 经 很 好 。 


--min rtt timeout «milliseconds»* --max-rtt-timeout <milliseconds> ， 
--initial-rtt-timeout <milliseconds> (调整 探测 报 文 超时 ) 


Nmap 使 用 一 个 运行 超时 值 来 确定 等 待 探测 报 文 响应 的 时 间 ， 随 后 会 放弃 或 重新 发 送 探测 报 
文 。Nmap 基于 上 一 个 探测 报 文 的 响应 时 间 来 计算 超时 值 ， 如果 网 络 延迟 比较 显著 和 不 定 ， 
这 个 超时 值 会 增加 几 秒 。 初 始 值 的 比较 保守 (高 )， 而 当 Nmap 扫描 无 响应 的 主机 时 ， 这 个 保 
守 值 会 保持 一 段 时 间 。 


这 些 选项 以 毫秒 为 单位 ， 采 用 小 的 --max-rtt-timeout 值 ， 使 --initial-rtt-timeout 值 大 于 默认 值 
可 以 明显 减少 扫描 时 间 ， 特 别 是 对 不 能 ping 通 的 扫描 (-P0) 以 及 具有 严格 过 滤 的 网 络 。 如 果 
使 用 太 小 的 值 ， 使 得 很 多 探测 报 文 超时 从 而 重新 发 送 ， 而 此 时 可 能 响 应 消息 正在 发 送 ， 这 使 
得 整个 扫描 的 时 间 会 增加 。 


如 果 所 有 的 主机 都 在 本 地 网 络 ， 对 于 --max-rtt-timeout 值 来 说 ，100 毫秒 比较 合适 。 如 果 存 在 
路 由 ， 首 先 使 用 ICMP ping 工具 ping 主机 ， 或 使 用 其 它 报 文 工 具 如 hpings * m Pe 
透 防火 墙 。 查 看 大 约 10 个 包 的 最 大 往返 时 间 ， 然 后 将 -initial- 设 成 这 个 时 间 的 2 
倍 ，--max-rtt-timeout 可 设 成 这 个 时 间 值 的 3 48-34 4 48 oH OR ^E ping 的 时 间 是 多 少 ， 最 
大 的 rtt 值 不 得 小 于 100ms， 不 能 超过 1000ms ° 


--min rtt timeout 这 个 选项 很 少 使 用 ， 当 网 络 不 可 靠 时 ，Nmap 的 默认 值 也 显 
这 时 这 个 选项 可 起 作用 。 当 网 络 看 起 来 不 可 靠 时 ，Nmap 仅 将 超时 时 间 降 至 最 
况 是 不 正常 的 ， 需 要 向 namp-dev 邮件 列表 报告 bug 。 


得 过 于 强 烈 ， 
小 值 ， 这 个 情 


--host-timeout <milliseconds> (放弃 低速 目标 主机 ) 


由 于 性 能 较 差 或 不 可 靠 的 网 络 硬件 或 软件 、 带 宽 限制 、 严 格 的 防火 墙 等 原因 ， 一 些 主机 需要 
很 长 的 时 间 扫 描 。 这 些 极 少数 的 主机 扫描 往往 占据 了 大 部 分 的 扫描 时 间 。 因 此 ， 
是 减少 时 间 消 耗 并 且 忽 略 这 些 主机 使 用 --host-timeout 选项 来 说 明 等 待 的 时 间 ( 毫 秒 )。 通 常 
使 用 1800000 来 保证 Nmap 不 会 在 单个 主机 上 使 用 超过 半 小 时 的 时 间 。 需 要 注意 的 是 ， 
Nmap 在 这 半 小 时 中 可 以 同时 扫描 其 它 主 机 ， 因 此 并 不 是 完全 放弃 扫描 。 超 时 的 主机 被 忽 
略 ， 因 此 也 没有 针对 该 主机 的 端口 表 、 操 作 系 统 检测 或 版 本 检测 结果 的 输 出 。 


--scan-delay «milliseconds»; --max scan-delay «milliseconds» (调整 探测 报 文 的 时 间 间 隔 ) 


这 个 选项 用 于 Nmap 控制 针对 一 个 主机 发 送 探测 报 文 的 等 待 时 间 (毫秒 )， 在 带宽 控制 的 情 况 
下 这 个 选项 非常 有 效 。Solaris 主机 在 响应 UDP 扫描 探测 报 文 报 文 时 ， 每 秒 只 发 送 一 个 ICMP 
消息 因此 Nmap 发 送 的 很 多 数 探测 报 文 是 浪费 的 --scan-delay 设 为 1000 使 Nmap 低速 运 


4 * Nmap 尝试 检测 带宽 控制 并 相应 地 调整 扫描 的 延迟 ， 但 并 不 影响 明确 说 明 何 种 速度 工作 
最 佳 。 


--scan-delay 的 另 一 个 用 途 是 艇 闭 基 于 阅 值 的 入 侵 检 测 和 预防 系统 (IDS/IPS)。 
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> ( 设 置 时 间 模板 ) 


上 述 优 化 时 间 控 制 选项 的 功能 很 强大 也 很 有 效 ， 但 有 些 用 户 会 被 迷惑 。 此 外 ， 往 往 选 择 合 
参数 的 时 间 超 过 了 所 需 优化 的 扫描 时 间 。 因 此 ，Nmap 提供 了 一 些 简 单 的 方法 ， 使 用 6 
间 模 板 ， 使 用 时 采用 -T 选项 及 数字 (0 - 5) 或 名 称 。 模 板 名 称 有 paranoid (0)、 sneaky (1)、 
polite (2)、normal(3) ^ aggressive (4) 和 insane (5)。 前 两 种 模式 用 于 IDS FR > Polite 模式 
降低 了 扫描 速度 以 使 用 更 少 的 带宽 和 目标 主机 资源 。 默 认 模 式 为 Normal， 因 此 -T3 实际 上 是 
未 做 任何 优化 。Aggressive 模式 假设 用 户 具 有 合适 及 可 靠 的 网 络 从 而 加 速 扫 描 。|nsane 模式 
假设 用 户 具有 特别 快 的 网 络 或 者 愿意 为 获得 速度 而 牺 牲 准确 性 。 


可 以 根据 自己 的 需要 选择 不 同 的 模板 ， 由 Nmap 负责 选择 实际 的 时 间 值 。 模 板 也 会 针 对 

它 的 优化 控制 选项 进行 速度 微调 。 例 如 ，-T4 针对 TCP 端口 禁止 动态 扫描 延迟 超过 
10ms，-T5 对 应 的 值 为 5ms。 模 板 可 以 和 优化 调整 控制 选项 组 合 使 用 ， 但 模板 必须 首先 指 
定 ， 和 否则 模板 的 标准 值 会 覆盖 用 户 指 定 的 值 。 建 议 在 扫描 可 靠 的 网 络 时 使 用 -T4， 即 使 在 自 
己 要 增加 优化 控制 选项 时 也 使 用 (在 命令 行 的 开始 )， 从 而 从 这 些 额 外 的 较 小 的 优化 中 获 益 


i i ui d. 或 以 太 网 连接 ， 仍 然 建议 使 用 -T4 选项 。 有 些 用 户 喜 欢 -T5 选项 ， 但 这 
过 于 强烈 。 有 时 用 户 考虑 到 避免 使 主机 崩溃 或 者 希望 更 礼貌 一 些 会 采用 -T2 选项 他 们 并 没 

i Polite 选项 是 如 何 的 慢 ， 这 种 模式 的 扫描 比 默认 方式 实际 上 要 多 花 10 倍 的 时 间 。 默 

认 时 间 选 项 (-T3) 很 少 有 主机 崩溃 和 带宽 问题 ， 比 较 适 合 于 说 民 的 用 户 不 进行 版 本 检测 比 进 

时 间 调 整 能 更 有 效 地 解决 这 些 问 题 。 


虽然 -TO 和 -T1 选项 可 能 有 助 于 避免 IDS 告警 ， 但 在 进行 上 千 个 主机 或 端口 扫描 时 ， 会 显 著 
增加 时 间 。 对 于 这 种 长 时 间 的 扫描 ， 宁 可 设 定 确 切 的 时 间 值 ， 而 不 要 去 依赖 封装 的 -TO 和 -T1 
选项 o 


TO 选项 的 主要 影响 是 对 于 连续 扫描 ， 在 一 个 时 间 只 能 扫描 一 个 端口 ， 每 个 探测 报 文 的 发 送 间 
Man 5 分 钟 T1 和 T2 选项 比较 类 似 探测 报 文 间 隔 分 别 为 15 秒 和 0.4 秒 T3 是 Nmap 的 默认 
选项 ， 包 含 了 并 行 扫描 。 T4 选项 与 --max-rtt-timeout 1250 --initial-rtt-timeout 500 等 
价 ， 最 大 TCP 扫描 延迟 为 10ms。T5 等 价 于 

--max-rtt-timeout 300 --min rtt timeout 50 --initial-rtt-timeout 250 --host-timeout 900000 


， 最 大 TCP 扫描 延迟 为 5ms » 


十 二 、 防 火 墙 /IDS 躲避 和 哄骗 


很 多 Internet 先驱 们 设想 了 一 个 全 球 开 放 的 网 络 ， 使 用 全 局 的 IP 地 址 空间 ， 使 得 任何 两 个 节 
点 之 间 都 有 虚拟 连接 。 这 使 得 主机 间 可 以 作为 丫 正 的 对 等 体 ， 相 互 间 提 供 服务 和 获取 信息 。 
人 们 可 以 在 工作 时 访问 家 里 所 有 的 系统 、 调 节 空 调 温度 、 为 提前 到 来 的 客人 开门 。 随 后 ， 这 
些 全 球 连 接 的 设想 受到 了 地 址 空间 短缺 和 安全 考虑 的 限制 。 在 90 年 代 早 期 ， 各 种 机 构 开始 
部 署 防火 墙 来 实现 减少 连接 的 目的 ， 大 型 网 络 通过 代理 、NAT 和 包 过 滤器 与 未 过 滤 的 
Internet 隔离 。 不 受 限 的 信息 流 被 严格 控制 的 可 信 通 信 通 道 信 息 流 所 替代 。 


类 似 防 火 墙 的 网 络 隔离 使 得 对 网 络 的 搜索 更 加 困难 ， 随 意 的 搜索 变 得 不 再 简单 。 然 而 ，Nmap 
提供 了 很 多 特性 用 于 理解 这 些 复 杂 的 网 络 ， 并 且 检 验 这 些 过 滤器 是 否 正 常 工作 。 此 外 ， 
Nmap 提供 了 绕 过 某 些 较 弱 的 防范 机 制 的 手段 。 检 验 网 络 安全 状态 最 有 效 的 方法 之 一 是 尝试 
哄骗 网 络 ， 将 自己 想象 成 一 个 攻击 者 ， 使 用 本 节 提 供 的 技术 来 攻击 自己 的 网 络 。 如 使 用 FTP 
bounce 724% ` Idle 扫描 、 分 片 攻击 或 尝试 穿 透 自 己 的 代理 。 


除 限 止 网 络 的 行为 外 ， 使 用 入 侵 检测 系统 (IDS) 的 公司 也 不 断 增 加 。 由 于 Nmap 常用 于 攻击 前 
期 的 扫描 ， 因 此 所 有 主流 的 IDS 都 包含 了 检测 Nmap 扫描 的 规则 。 现 在 ， 这 些 产品 变形 为 入 
侵 预防 系统 (IPS)， 可 以 主动 地 阻止 可 疑 的 恶意 行为 。 不 幸 的 是 ， 网 络 管理 员 和 IDS 厂商 通过 
分 析 报 文 来 检测 恶意 行为 是 一 个 艰苦 的 工作 ， 有 耐心 和 技术 的 攻击 者 ， 在 特定 Nmap 选项 的 
帮助 下 ， 常 常 可 以 不 被 IDS 检测 到 。 同 时 ， 管 理 员 必 须 应 付 大 量 的 误 报 结果 ， 正 常 的 行为 被 
误 判 而 被 改变 或 阻止 。 


有 时 ， 人 们 建议 Nmap 不 应 该 提供 躲 闭 防火 墙 规 则 或 哄骗 IDS 的 功能 ， 这 些 功能 可 能 会 被 攻 
击 者 滥用， 然而 管理 员 却 可 以 利用 这 些 功能 来 增强 安全 性 。 实 际 上 ， 攻 击 的 方法 仍 可 被 攻击 
者 利用 他 们 可 以 发 现 其 它 工具 或 Nmap 的 补丁 程序 。 同 时 ， 管 理 员 发 现 攻击 者 的 工作 更 加 困 
难 ， 相 比较 采取 措施 来 预防 执行 FTP Bounce 攻击 的 工具 而 言 ， 部 署 先 进 的 、 打 过 补丁 的 
FTP 服务 器 更 加 有 效 。 


Nmap 不 提供 检测 和 破坏 防火 墙 及 IDS 系统 的 魔 弹 (或 Nmap 选项 )， 它 使 用 的 是 技术 和 经 
验 ， 这 超 出 了 本 参考 手册 的 范围 ， 下 面 描述 了 相关 的 选项 和 完成 的 工作 。 


-f ( 报 文 分 段 ) --mtu (使 用 指定 的 MTU) 


-f 选项 要 求 扫描 时 ( 包 担 ping 扫描 ) 使 用 小 的 IP APR 其 思路 是 将 TCP 头 分 段 在 几 个 包 中 ， 
使 得 包 过 滤器 、|DS 以 及 其 它 工 具 的 检测 更 加 困难 。 必 须 小 心 使 用 这 个 选项 ， 有 些 系 统 在 处 
理 这 些小 包 时 存在 问题 ， 例 如 昌 的 网 络 噬 探 器 Sniffit 在 接收 到 第 一 个 分 段 时 会 立刻 出 现 分 段 
兽 误 。 该 选项 使 用 一 次 ，Nmap 在 IP 头 后 将 包 分 成 8 个 字 节 或 更 小 因此 ， 一 个 20 字 节 的 
TCP 头 会 被 分 成 3 个 包 ， 其 中 2 个 包 分 别 有 TCP 头 的 8 AFE’ X 1 个 包 有 TCP 头 的 剩 
下 4 个 字 节 当然 每 个 包 都 有 一 个 IP 头 再 次 使 用 -f 可 使 用 16 字 节 的 分 段 (减少 分 段 数量 )。 使 
用 --mtu 选项 可 以 自 定义 偏 移 的 大 小 ， 使 用 时 不 需要 -f 偏 移 量 必须 是 8 的 倍数 。 包 过 滤器 和 
防火 墙 对 所 有 的 IP 分 段 排队 ， 如 Linux 核心 中 的 CONFIG_IP_ALWAYS_DEFRAG 配置 项 ， 
分 段 包 不 会 直接 使 用 。 一 些 网 络 无 法 承受 这 样 所 带 来 的 性 能 冲击 ， 会 将 这 个 配置 禁止 。 其 它 


禁止 的 原因 有 分 段 包 会 通过 不 同 的 路 由 进入 网 络 。 一 些 源 系 统 在 内 核 中 对 发 送 的 报 文 进行 分 
段 ， 使 用 iptables 连接 跟踪 模块 的 Linux 就 是 一 个 例子 。 当 使 用 类 似 Ethereal 的 噢 探 器 时 ， 
扫描 必须 保证 发 送 的 报 文 要 分 段 。 如 果 主 机 操作 系统 会 产 生 问题 尝试 使 用 --send-eth 选项 以 
避 开 IP 层 而 直接 发 送 原始 的 以 太 网 帧 。 


-D <decoy1 [，decoy2][，ME]，,, ,> (使 用 诱 饵 隐 蔽 扫描 ) 


为 使 诱 饪 打 描 起 作用 ， 需 要 使 远程 主机 认为 是 诱 饰 在 扫描 目标 网 络 。|DS 可 能 会 报 个 某 个 IP 
的 5-10 个 端口 扫描 ， 但 并 不 知道 哪个 |P 在 扫描 以 及 哪些 不 是 诱饵 。 但 这 种 方式 可 以 通过 路 
由 跟踪 、 响 应 丢弃 以 及 其 它 主动 机 制 在 解决 。 这 是 一 种 常用 的 隐藏 自身 IP 地 址 的 有 效 技 术 。 


使 用 吉 号 分 隔 每 个 诱饵 主机 ， 也 可 用 自己 的 站 实 IP FAB > XM TEA ME 选项 说 明 如 果 
在 第 6 个 位 置 或 更 后 的 位 置 使 用 ME 选项 ， 一 些 常用 端 dpt & i| 器 (如 Solar Designer's 
excellent scanlogd) 就 不 会 报告 3& PAE IP 如 果 不 使 用 ME 选项 Nmap 将 HH IP 放 在 一 个 
随机 的 位 置 


注意 ， 作 为 诱饵 的 主机 须 在 工作 状态 ， 否 则 会 导致 目标 主机 的 SYN 洪水 攻击 。 如 果 在 网 络 
中 只 有 一 个 主机 在 工作 ， 那 就 很 容易 确定 哪个 主机 在 扫描 。 也 可 使 用 IP 地 址 代替 主 机 名 (被 
诱骗 的 网 络 就 不 可 能 在 名 字 服 务 器 日 志 中 发 现 )。 


诱饵 可 用 在 初始 的 ping 扫描 (ICMP、SYN、ACK 等 ) 阶 段 或 站 正 的 端口 扫描 阶段 。 诱 饵 也 可 
以 用 于 远程 操作 系统 检测 (-O) 。 在 进行 版 本 检测 或 TCP 连接 扫描 时 ， 诱 饵 无 效 。 


使 用 过 多 的 诱饵 没有 任何 价值 ， 反 而 导致 打 描 变 慢 并 且 结 果 不 准 确 。 此 外 ， 一 些 |SP 会 HER 
哄骗 的 报 文 ， 但 很 多 对 欺骗 P 包 没 有 任何 限制 。 


-S «IP Address» ( 源 地 址 哄骗 ) 


在 某 些 情况 下 ，Nmap 可 能 无 法 确定 你 的 源 地 址 (如 果 这 样 ，Nmap 会 给 出 提示 )。 此 时 ， 使 
A-S 选项 并 说 明 所 需 发 送 包 的 接口 IP 地 址 。 


这 个 标志 的 另 一 个 用 处 是 哄骗 性 的 扫描 i MA UR 一 个 地 址 在 进行 扫描 。 可 以 想象 
某 一 个 竞争 对 手 在 不 断 扫描 某 个 公司 ! -e 选项 常 在 这 种 情况 下 使 用 ， 也 可 采用 -PO 选项 。 


-e «interface» (使 用 指 定 的 接 u) 


告诉 Nmap 使 用 哪个 接口 发 送 和 接收 报 文 ，Nmap 可 以 进行 自动 检测 ， 如 果 检 测 不 出 会 给 出 
是 示 。 


Ed 


--source-port <portnumber>; -g <portnumber> (75. 35 口 哄骗 ) 


仅 依 赖 于 源 端口 号 就 信任 数据 流 是 一 种 常见 的 错误 配置 ， 这 个 问题 非常 好 理解 。 例 如 一 个 管 
理 员 部 署 了 一 个 新 的 防火 墙 ， 但 招来 了 很 多 用 户 的 不 满 ， 因 为 他 们 的 应 用 停止 工作 了 。 可 能 
是 由 于 外 部 的 UDP DNS 服务 器 响应 无 法 进入 网 络 ， 而 导致 DNS 的 崩溃 。FTP 是 另 一 个 常 
见 的 例子 ， 在 FTP 传输 时 ， 远 程 服务 器 尝试 和 内 部 用 建立 连接 以 传输 数据 。 


对 这 些 问 题 有 安全 解决 方案 ， 通 常 是 应 用 级 代理 或 协议 分 析 防 火 墙 模块 。 但 也 存在 一 些 不 安 
全 的 方案 。 注 意 到 DNS 响应 来 自 于 53 端口 ，FTP 连接 来 自 于 20 端口 ， 很 多 管理 员 会 掉 入 
一 个 陷阱 ， 即 允许 来 自 于 这 些 端口 的 数据 进入 网 络 。 他 们 认为 这 些 端口 里 不 会 有 值得 注意 的 
攻击 和 漏洞 利用 。 此 外 ， 管 理 员 或 许 认 为 这 是 一 个 短期 的 措施 ， 直 至 他 们 采取 更 安全 的 方 
案 。 但 他 们 忽视 了 安全 的 升级 。 


a 
f 


不 仅仅 是 工作 量 过 多 的 网 络 管理 员 掉 入 这 种 陷阱 ， 很 多 产品 本 身 也 会 有 这 类 不 安 

甚至 是 微软 的 产品 。Windows 2000 和 Windows XP 中 包含 的 IPsec 过 滤器 也 包含 了 一 些 隐 
含 规则 ， 人 允许 所 有 来 自 88 端口 (Kerberos) 的 TCP 和 UDP 数据 流 。 另 一 个 常见 的 例 
Zone Alarm 个 人 防火 墙 到 2.1.25 版 本 仍然 允许 源 端 口 53(DNS) 或 67(DHCP) 的 UD 
A9 


M 


Nmap 提供 了 -g 和 --source-port 选项 (它们 是 等 价 的 )， 用 于 利用 上 述 弱点 。 只 需要 提供 — 
端口 号 ，Nmap 就 可 以 从 这 些 端口 发 送 数据 。 为 使 特定 的 操作 系统 正常 工作 ，Nmap 必须 使 
用 不 同 的 端口 号 。 DNS 请 求 会 忽略 --source-port 选项 ， 这 是 因为 Nmap 依靠 系统 库 来 处 
理 。 大 部 分 TCP 扫描 ， 包 括 SYN 扫描 ， 可 以 完全 支持 这 些 选项 ，UDP 扫描 同样 如 此 


--data-length <number> (发 送 报 文 时 附加 随机 数据 ) 


正常 情况 下 Nmap 发 送 最 少 的 报 文 只 含 一 个 包头 因此 TCP 包 通 常 是 40 字 节 ICMP ECHO 
请 求 只 有 28 字 节 。 这 个 选项 告诉 Nmap 在 发 送 的 报 文 上 附加 指定 数量 的 随机 字 节 。 操 作 系 
统 检 测 (-O) 包 不 受 影响 ， 但 大 部 分 ping 和 端口 扫描 包 受 影响 ， 这 会 使 处 理 变 慢 ， 但 对 扫描 的 


影响 较 小 。 
--ttl «value» (设置 |P time-to-live 域 ) 

设置 IPv4 报 文 的 time-to-live 域 为 指定 的 值 。 
--randomize-hosts (对 目标 主机 的 顺序 随机 排列 ) 


告诉 Nmap 在 扫描 主机 前 对 每 个 组 中 的 主机 随机 排列 ， 最 多 可 达 8096 个 主机 。 这 会 使 得 da 
描 针 对 不 同 的 网 络 监控 系统 来 说 变 得 不 是 很 明显， 特别 是 配合 值 较 小 的 时 间 选 项 时 更 有 效 。 
如 果 需 要 对 一 个 较 大 的 组 进行 随机 排列 ， 需 要 增 大 nmap.h 文件 中 PING. GROUP. SZ 的 
值 ， 并 重新 编译 。 另 一 种 方法 是 使 用 列表 扫描 (-sL -n -oN filename)， 产 生 目 标 IP 的 列表 ， 
使 用 Perl 脚本 进行 随机 化 ， 然 后 使 用 -iL 提供 给 Nmap 。 


--spoof-mac «mac address > prefix: or vendor name> (MAC 地 址 哄骗 ) 


要 求 Nmap 在 发 送 原 以 太 网 帧 时 使 用 指定 的 MAC 地 址 这 个 选项 隐 含 了 --send-eth 选项 以 保 
证 Nmap iE Z 3X VA B] &, » MAC 地 址 有 几 种 格式 。 如 果 简 单 地 使 用 字符 串 "0”，Nmap 选 
择 一 个 完全 随机 的 MAC 地 址 如 果 给 定 的 字符 品 是 一 个 16 进 制 偶数 (使 用 :分 隔 ) Nmap 将 使 用 
这 个 MAC 地 址 。 如 果 是 小 于 12 的 16 进 制 数字 ，Nmap 会 随机 填充 剩 下 的 6 个 字 节 。 如 果 
参数 不 是 0 或 16 进 制 字符 串 ，Nmap 将 通过 nmap-mac-prefixes 查找 厂商 的 名 称 ( 大 小 写 


区 分 )， 如 果 找到 匹配 ，Nmap 将 使 用 厂商 的 OUI(3 字 节 前 级 )， 然 后 随机 填充 剩余 的 3 个 节 
字 。 正 确 的 --spoof-mac 参数 有 ，Apple，0，01:02:03:04:05:06 > deadbeefcafe > 
0020F2， 和 Cisco. 


十 三 、 输 出 


任何 安全 工具 只 有 在 输出 结果 时 才 是 有 价值 的 ， 如 果 没 有 通过 组 织 和 易于 理解 的 方式 来 表 
达 ， 复 杂 的 测试 和 算法 几乎 没有 意义 。Nmap 提供 了 一 些 方式 供用 户 和 其 它 软 件 使 用 ， 实 际 
上 ， 没 有 一 种 方式 可 以 使 所 有 人 满意 。 因 此 Nmap 提供 了 一 些 格式 ， 包 含 了 方便 直接 查看 的 
交互 方式 和 方便 软件 处 理 的 XML 格式 。 


除了 提供 输出 格式 外 ，Nmap 还 提供 了 选项 来 控制 输出 的 细节 以 及 调试 信息 。 输 出 内 容 可 发 
送 给 标准 输出 或 命名 文件 ， 可 以 追加 或 覆盖 。 输 出 文件 还 可 被 用 于 继续 中 断 的 扫描 。 


Nmap 提供 5 种 不 同 的 输出 格式 。 默 认 的 方式 是 interactive output， 发 送 给 标准 输出 (stdout) 
normal output 方式 类 似 于 interactive， 但 显示 较 少 的 运行 时 间 信 息 和 告警 信息 ， 这 是 由 于 这 
些 信 息 是 在 扫描 完全 结束 后 用 于 分 析 ， 而 不 是 交互 式 的 。 


XML 输出 是 最 重要 的 输出 类 型 ， 可 被 转换 成 HTML， 对 于 程序 处 理 非 常 方便 ， 如 用 于 Nmap 
图 形 用 户 接口 或 导入 数据 库 。 


另 两 种 输出 类 型 比较 简单 ，grepable output 格式 ， 在 一 行 中 包含 目标 主机 最 多 的 信息 ; 
sCRiPt KiDDi3 OutPUt 格式 ， 用 于 考虑 自己 的 用 户 |«-r4d ° 


交互 式 输出 是 默认 方式 ， 没 有 相应 的 命令 行 选项 ， 其 它 四 种 格式 选项 使 用 相同 的 语法 ， 采 用 
一 个 参数 ， 即 存放 结果 的 文件 名 。 多 种 格式 可 同时 使 用 ， 但 一 种 格式 只 能 使 用 一 次 。 例 如 ， 
在 标 准 输出 用 于 查看 的 同时 ， 可 将 结果 保存 到 XML 文件 用 于 程序 分 析 ， 这 时 可 以 使 用 选项 - 
oX myscan.xml -oN myscan.nmap。 为 便于 描述 的 简化 ， 本 章 使 用 类 似 于 myscan.xml 的 简 
单 文件 名 建议 采用 更 具有 描述 性 的 文件 名 。 文 件 名 的 选择 与 个 人 喜好 有 关 ， 建 议 增加 扫描 日 
期 以 及 一 到 两 个 单词 来 描述 ， 并 放置 于 一 个 目录 中 。 


在 将 结果 输出 到 文件 的 同时 ，Nmap 仍 将 结果 发 送 给 标准 输出 。 例 如 ， 命 令 nmap -oX 
myscan.xml target 将 输出 XML 至 myscan.xml， 并 在 stdout 上 打印 相同 的 交互 式 结果 ， 而 此 
时 -OX 选项 没 有 采用 。 可 以 使 用 连 字 符 作为 选项 来 改变 ， 这 使 得 Nmap 禁止 交互 式 输出 ， 而 
是 将 结果 打印 到 所 指定 的 标准 输出 流 中 。 因 此 ， 命 令 nmap -oX - target 只 输出 XML 至 标准 
输出 stdout。 严 重 错 误 仍 然 是 输出 到 标准 错误 流 stderr 中 。 


与 其 它 Nmap 参数 不 同 ， 日 志文 件 选 项 的 空格 (如 -OX) 和 文件 名 或 连 字符 是 必需 的 。 如 果 省 略 
了 标记， 例如 -0G- 或 -oXscan.xml，Nmap 的 向 后 兼容 特点 将 建立 标准 格式 的 输出 文件 ， 相 
应 的 文 件 名 为 G- 和 Xscan.xml。 


Nmap 还 提供 了 控制 扫描 细节 以 及 输出 文件 的 添加 或 覆盖 的 选项 ， 这 些 选 项 如 下 所 述 。 Nmap 
输出 格式 


-oN <filespec> (标准 输出 ) 


要 求 将 标准 输出 直接 写 入 指定 的 文件 。 如 上 所 述 ， 这 个 格式 与 交互 式 输出 BARE © 


-oX <filespec> (XML 输出 ) 


要 求 XML 输出 直接 写 入 指定 的 文件 。 Nmap 包含 了 一 个 文档 类 型 定义 (DTD)， 使 XML 解析 
器 有 效 地 进行 XML 输出 。 这 主要 是 为 了 程序 应 用 ， 同 时 也 可 以 协助 人 工 解释 Nmap 的 XML 
输出 。DTD 定义 了 合法 的 格式 元 素 ， 列 举 可 使 用 的 属性 和 值 。 最 新 的 版 本 可 在 
http://www.insecure.org/nmap/data/nmap.dtd 获取 。 


XML 提供 了 可 供 软 件 解析 的 稳定 格式 输出 ， 主 要 的 计算 机 语言 都 提供 了 免费 的 XML 解析 

器 ， 如 C/C++，Perl，Python 和 Java。 针对 这 些 语 言 有 一 些 捆 绑 代 码 用 于 处 理 Nmap 的 输 
出 和 特定 的 执行 程序 。 例 如 perl CPAN 中 的 Nmap::Scanner 和 Nmap::Parser。 对 几乎 所 
有 与 Nmap 有 接口 的 主要 应 用 来 说 ，XML 是 首选 的 格式 。 


XML 输出 引用 了 一 个 XSL 样式 表 ， 用 于 格式 化 输出 结果 ， 类 似 于 HTML. 。 最 方便 的 方法 是 
将 XML 输出 加 载 到 一 个 Web 浏览 器 ， 如 Firefox 或 IE。 由 于 nmap.xsl 文件 的 绝对 路 径 A 
此 通常 只 能 在 运行 了 Nmap 的 机 器 上 工作 (或 类 似 配置 的 机 器 )。 类 似 于 任何 支持 Web 机 器 的 
HTML 文件 ，--stylesheet 选项 可 用 于 建立 可 移植 的 XML 文件 。 


-oS <filespec> (ScRipT Kldd|3 oUTpuT) 


脚本 小 子 输 出 类 似 于 交互 工具 输出 ， 这 是 一 个 事后 处 理 ， 适合 于 '133t HaXXorZ， 由 于 原来 全 
都 是 大 写 的 Nmap 输出 。 这 个 选项 和 脚本 小 子 开 了 玩笑 ， 看 上 去 似乎 是 为 了 “帮助 他 们 ”。 


-0G <filespec> (Grep 输出 ) 


这 种 方式 最 后 介绍 ， 因 为 不 建议 使 用 。XML 输 格 式 很 强大 ， 便 于 有 经 验 的 用 户 使 用 。XML 是 
一 种 标准 ， 由 许多 解析 器 构成 ， 而 简化 。XML 是 可 扩展 的 ， 以 支持 新 发 布 的 
Nmap 特点 。 使 用 Grep 输出 的 目的 是 忽略 这 些 特点 ， 因 为 没有 足够 的 空间 。 


然 面 ，Grep 输出 仍然 很 常 使 用 。 它 是 一 种 简单 格式 ， 每 行 一 个 主机 ， 可 以 通过 UNIX 工具 
(如 grep、awk、cut、sed、diff) 和 Perl 方便 地 查找 和 分 解 。 常 可 用 于 在 命令 行 上 进行 一 次 性 
测 式 。 查 找 ssh 端口 打开 或 运行 Sloaris 的 主机 ， 只 需要 一 个 简单 的 grep 主机 说 明 ， 使 用 通 
道 并 通过 awk 或 cut 命令 打印 所 需 的 域 。 


Grep 输出 可 以 包含 注释 (每 行 由 # 号 开始 )。 每 行 由 6 个 标记 的 域 组 成 ， 由 制 表 符 及 冒号 分 
B o RERA EIM’ WO’ WMA’ ARRA” RERA’ FIF > PID 和 状态 。 


这 些 域 中 最 重要 的 是 Ports， 它 提供 了 所 关注 的 端口 的 细节 ， 端 口 项 由 过 号 分 隔 。 每 个 端 口 项 
代表 一 个 所 关注 的 端口 ， 每 个 子 域 由 /分 隔 。 这 些 子 域 有 : 端口 号 ， 状 态 ， 协 议 ， 拥 有 者 ， 
服务 ，SunRPCinfo 和 版 本 信息 。 


对 于 XML 输出 ， 本 手册 无 法 列举 所 有 的 格式 ， 有关 Nmap Grep 输出 的 更 详细 信息 可 查阅 
http://www.unspecific.com/nmap-oG-output ° 


-oA «basename» (输出 至 所 有 格式 ) 


为 使 用 方便 ， 利 用 -oOAbasename 选项 可 将 扫描 结果 以 标准 格式 、XML 格式 和 Grep 格式 一 
次 性 输出 。 分 别 存放 在 basename.nmap，basename.xml 和 basename.gnmap 文件 中 。 也 
可 以 在 文件 名 前 指定 目录 名 ， 如 在 UNIX 中 ， 使 用 ~/nmaplogs/foocorp/， 在 Window 中 使 
用 c:\nacking\sco on Windows » 


细节 和 调试 选项 
av (提高 输出 信息 的 详细 度 ) 


通过 提高 详细 度 ，Nmap 可 以 输出 扫描 过 程 的 更 多 信息 。 输 出 发 现 的 打开 端口 ， 若 Nmap ik 
为 扫描 需要 更 多 时 间 会 显示 估计 的 结束 时 间 。 这 个 选项 使 用 两 次 ， 会 提供 更 详细 的 信 息 。 这 
个 选 项 使 用 两 次 以 上 不 起 作用 。 


大 部 分 的 变化 仅 影 响 交 互 式 输 出 ， 也 有 一 些 影响 标准 和 脚本 小 子 输出 。 其 它 输出 类 型 由 机 器 
处 理 ， 此 时 Nmap 默认 提供 详细 的 信 息 ， 不 需要 人 工 干 预 。 然 而 ， 其 它 模 式 也 会 有 一 些 变 
化 ， 省 略 一 些 细节 可 以 减 小 输出 大 小 。 例 如 ，Grep 输出 中 的 注释 行 提供 所 有 扫描 端口 列 

表 ， 但 由 于 这 些 信息 过 长 ， 因 此 只 能 在 细节 模式 中 输出 。 


-d [level] (提高 或 设置 调试 级 别 ) 

当 详 细 模 式 也 不 能 为 用 户 提供 足够 的 数据 时 ， 使 用 调试 可 以 得 到 更 多 的 信息 。 使 用 细节 选项 (- 
V) 时 ， 可 启用 命令 行 参数 (-d)， 多 次 使 用 可 提高 调试 级 别 。 也 可 在 -d 后 面 使 用 参数 设置 调试 级 
别 。 例 如 ，-d9 设 定 级 别 9。 这 是 最 高 的 级 别 ， 将 会 产生 上 千 行 的 输出 ， 除 非 只 对 很 少 的 端口 
和 目标 进行 简单 扫描 。 


如 果 Nmap AA Bug 而 挂 起 或 者 对 Namp 的 工作 及 原理 有 疑问 ， 调 试 输出 非常 有 效 。 主 要 
是 开发 人 员 用 这 个 选项 ， 调 试行 不 具备 自我 解释 的 特点 。 例 

如 ， Timeoutvals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 
。 如果 对 某 行 输出 不 明白 ， 可 以 忽略 、 查 看 源 代码 或 向 开发 列表 (nmap-dev) 求 助 。 有 些 输 出 
行 会 有 自我 解释 的 特点 ， 但 随 着 调试 级 别 的 升 高 ， 会 越 来 越 含糊 。 


--packet-trace (跟踪 发 送 和 接收 的 报 文 ) 


BR Nmap 打印 发 送 和 接收 的 每 个 报 文 的 摘要 ， 通 常用 于 调试 ， 有 助 于 新 用 户 更 好 地 理 解 
Nmap 的 申 正 工作 。 为 避免 输出 过 多 的 行 ， 可 以 限制 扫描 的 端口 数 ， 如 -p20-30。 如果 只 需 
进行 版 本 检测 ， 使 用 --version-trace 。 


--iflist (列举 接口 和 路 由 ) 

输出 Nmap 检测 到 的 接口 列表 和 系统 路 由 ， 用 于 调试 路 由 问题 或 设备 描述 失误 (如 Nmap 把 
PPP 连接 当 作 以 太 网 对 待 ) 。 

其 它 输出 选项 


--append-output (在 输 出 文件 中 添加 ) 


当 使 用 文件 作为 输出 格式 ， 如 -OX 或 -ON ， 默 认 该 文件 被 覆盖 。 如 果 希 望 文 件 保 留 现 有 内 
容 ， 将 结果 添加 在 现 有 文件 后 面 ， 使 用 --append-output 选项 。 所 有 指 定 的 输出 文件 都 被 添 
加 。 但 对 于 XML(-oX) 扫 描 输 出 文件 无 效 ， 无 法 正常 解析 ， 需 要 手工 修改 。 


--resume <filename> ( 继 续 中 断 的 扫 描 ) 


一 些 扩展 的 Nmap 运行 需要 很 长 的 时 间 -- 以 天 计算 ， 这 类 扫描 往往 不 会 结束 。 可 以 进 行 一 
些 限 制 ， 禁 止 Nmap 在 工作 时 间 运 行 ， 导 致 网 络 中 断 、 运 行 Nmap 的 主机 计划 或 非 计 划 地 
重启 、 或 者 Nmap 自己 中 断 。 运 行 Nmap 的 管理 员 可 以 因 其 它 原因 取消 运行 ， 按 下 ctrl-C FP 
可 。 从 头 开 始 启 动 扫描 可 能 令 人 不 快 ， 幸 运 的 是 ， 如 果 标 准 扫描 (-oON) 或 Grep 扫描 (-0G) 日 志 
被 保留 ， 用 户 可 以 要 求 Nmap 恢复 终止 的 扫描 ， 只 需要 简单 地 使 用 选项 


--resume 并 说 明 标准 /Grep 扫描 输出 文件 ， 不 允许 使 用 其 它 参 数 ，Nmap 会 解析 输出 文件 并 
使 用 原来 的 格式 输出 。 使 用 方式 如 nmap --resume logfilename。 Nmap 将 把 新 地 结 果 添 加 
到 文件 中 这 种 方式 不 支持 XML 输出 格式 原因 是 将 两 次 运行 结果 合并 至 一 个 XML 文件 比较 

困难 。 


--stylesheet <path or URL> (设置 XSL 样式 表 ， 转 换 XML 输出 ) 


Nmap 提 从 了 XSL 样式 表 nmap.xsl， 用 于 查看 或 转换 XML 输出 至 HTML ° XML 输出 包含 了 
一 个 xml-stylesheet ， 直 接 指向 nmap.xml 文件 ， 该 文件 由 Nmap 安装 (或 位 于 Windows 当 
前 工作 目录 )。 在 Web 浏览 器 中 打开 Nmap 的 XML 输出 时 ， 将 会 在 文件 系统 中 寻找 
nmap.xsl 文件 ， 并 使 用 它 输出 结果 。 如 果 和 希望 使 用 不 同 的 样式 表 ， 将 它 作为 


--stylesheet 的 参数 ， 必 段 指明 完整 的 路 径 或 URL， 常 见 的 调用 方式 是 --stylesheet 
http://www.insecure.org/nmap/data/nmap.xsl » 这 告诉 浏览 器 从 Insecire.Org 中 加 载 最 新 的 
样式 表 。 这 使 得 没 安装 Nmap( 和 nmap.xsl) 的 机 器 中 可 以 方便 地 查看 结果 。 因 此 ，URL 更 
方便 使 用 ， 本 地 文件 系统 的 nmap.xsl 用 于 默认 方式 。 


--no_stylesheet (忽略 XML 声明 的 XSL 样 式 表 ) 


使 用 该 选项 禁止 Nmap 的 XML 输出 关联 任何 XSL 样式 表 。 xml-stylesheet 指示 被 忽略 。 


十 四 、 其 它 选项 


本 节 描 述 一 些 重要 的 (和 并 不 重要 ) 的 选项 ， 这 些 选项 不 适合 其 它 任何 地 方 。 
-6 (启用 IPv6 扫描 ) 


从 2002 年 起 ，Nmap 提供 对 IPv6 的 一 些 主要 特征 的 支持 。ping 扫描 (TCP-only)、 连 接 扫描 
以 及 版 本 检测 都 支持 IPv6。 除 增加 -6 选项 外 ， 其 它 命令 语法 相同 。 当 然 ， 必 须 使 用 IPv6 地 
址 来 蔡 换 主机 名 ， 如 3ffe:7501:4819:2000:210:f3ff:fe03:14d0。 除 “ 所 关 注 的 端口 " 行 的 地 址 
部 分 为 IPv6 地 址 。 


IPv6 目前 未 在 全 球 广泛 采用 ， 目 前 在 一 些 国家 (亚洲 ) 应 用 较 多 ， 一 些 高 级 操作 系统 支持 
IPv6。 使 用 Nmap 的 IPv6 功能 ， 扫 描 的 源 和 目 的 都 需要 配置 IPv6。 如 果 ISP( 大 部 分 ) 不 


分 配 IPv6 地 址 ，Nmap 可 以 采用 免费 的 隧道 代理 。 一 种 较 好 的 选择 是 BT Exact， 位 于 
https://tb.ipv6.btexact.com/。 此 外 ， 还 有 Hurricane Electric， 位 于 http://ipv6tb.he.net/ ° 
6to4 隧道 是 另 一 种 常用 的 免费 方法 。 


-A (激烈 扫描 模式 选项 ) 


这 个 选项 启用 额外 的 高 级 和 高 强度 选项 ， 目 前 还 未 确定 代表 的 内 容 。 目 前 ， 这 个 选项 启 用 了 
操作 系统 检测 (-O) 和 版 本 扫描 (-SV)， 以 后 dioi 的 功能 。 目的 是 启用 一 个 全 面 的 扫描 选 
项 集合 ， 不 需要 用 户 记忆 大 量 的 选项 。 选项 仅仅 启用 功能 ， 不 包含 用 于 可 能 所 需要 的 时 
间 选 项 (如 -T4) 或 细节 选项 (-V) © 


--datadir <directoryname> (说 明 用 户 Nmap 数据 文件 位 置 ) 


Nmap 在 运行 时 从 文件 中 获得 特殊 的 数据 ， 这 些 文件 有 nmap-service-probes，nmap- 
services > nmap-protocols > nmap-rpc > nmap-mac-prefixes 和 nmap-os-fingerprints ° 
Nmap 首先 在 --datadir 选项 说 明 的 目录 中 查找 这 些 文件 。 未 找到 的 文件 ， 将 在 BMAPDIR 环 
境 变量 说 明 的 目录 中 查找 。 HP REA TS AEF A x UID 的 ~/.nmap 或 Nmap 可 执行 代码 
的 位 置 ( 仅 Win32) ; 然后 是 是 编译 位 置 ， 如 /usr/local/share/nmap 3X /usr/share/nmap ° 
Nmap 查找 的 最 后 一 个 位 置 是 当前 目录 。 


--send-eth (使 用 原 以 太 网 帧 发 送 ) 


OG QA de ce 报 文 。 默 认 方式 下 ，Nmap 选择 最 
适合 其 运行 平台 的 方式 ， 原 套 接 FIP 层 ) 是 UNIX 主机 最 有 效 的 方式 ， 而 以 太 网 帧 最 适合 
Windows 操作 系统 ， 因 为 Microsoft 禁用 了 原 套 接 字 支持 。 在 UNIX 中 ， 如 果 没 有 其 它 选择 

(如 无 以 太 网 连接 )， 不 管 是 否 有 该 选项 ，Nmap 都 使 用 原 IP 包 


--send-ip (在 原 IP 层 发 送 ) 


要 求 Nmap 通过 原 IP. 套 接 字 发 送 报 文 ， 而 不 是 低层 的 以 太 网 帧 。 这 是 --send-eth 选项 的 补 
充 o 


--privileged (假定 用 户 具 有 全 部 权限 ) 


告诉 Nmap 假定 其 具有 足够 的 权限 进行 源 套 接 字 包 发 送 、 报 文 捕获 和 类 似 UNIX 系统 中 根 用 
户 操作 的 权限 。 黑 认 状 态 下 ， 如 果 由 getuid() 请 求 的 类 似 操作 不 为 0，Nmap 将 退出 
--privileged 在 具有 Linux 内 核 性 能 的 类 似 系 非常 有 效 这 些 系统 配置 允许 非 特权 
用 户 可 以 进行 原 报 文 扫 描 。 需 要 明确 的 是 ， 在 其 它 选项 之 前 使 用 这 些 需要 权 限 的 选项 (SYN 
扫描 、 操 作 系 统 检测 等 )。Nmap_PRIVILEGED 变量 设置 等 价 于 --privileged 选项 。 


--interactive (在 交互 模式 中 启动 ) 


在 交互 模式 中 启动 Nmap， 提 供 交互 式 的 et ， 便于 进行 多 个 扫描 (同步 或 后 台 方 
式 )。 对 于 从 多 用 户 系 统 中 扫描 的 用 户 非常 有 效 ， 这 些 用 户 常 需要 测试 他 们 的 安全 性 ， 


但 不 希望 系统 中 的 其 它 用 户 知 道 他 们 扫描 哪些 系统 。 使 用 --interactive 激活 这 种 方 式 ， 然 后 
输入 h 可 unie 息 。 由 于 需要 对 正确 的 shell ee 非常 熟悉 ， 这 个 选项 很 少 
使 用 。 这 个 包含 了 IRN > 用 于 执行 shell 命令 ， 这 是 不 安装 Nmap setuid root 的 
ss 


-V; --version (打印 版 本 信息 ) 打印 Nmap 版 本 号 并 退出 。 
-h; --help (打印 帮助 摘要 面 ) 


打印 一 个 短 的 帮助 屏幕 ， 列 出 大 部 分 常用 的 命令 选项 ， 这 个 功能 与 不 带 参 数 运行 Nmap 是 相 
同 的 。 


Ne A- st 
TAS BAH HRA 
Nmap 目前 还 不 具有 这 个 功能 ， 本 节 内 容 可 能 会 增加 或 删除 。 


在 执行 Nmap 时 ， 所 有 的 键盘 裔 击 都 被 记录 。 这 使 得 用 户 可 以 与 程序 交互 而 不 需要 终止 或 重 
È 特定 的 键 可 改变 选项 ， 其 它 键 会 输出 一 个 有 关 扫 描 的 状态 消息 。 约 定 如 下 ， 人 小 写字 母 增加 
打印 量 ， 大 写字 母 减少 打印 量 。 

V / V 

增加 | 减少 细节 

d/D 


提高 / 降低 调试 级 别 


p/P 
打开 / 养老 报 文 跟踪 
其 它 


打印 的 信息 类 似 于 : 


Stats: 0:00:08 elapsed; 111 hosts completed (5 up)，5 undergoing Service Scan Service sc 


id n : 





十 六 、 实 例 


下 面 给 出 一 些 实例 ， 简 单 的 、 复 杂 的 到 深奥 的 。 为 更 具体 ， 一 些 例子 使 用 了 实际 的 IP 地 址 和 
域名 。 在 这 些 位 置 ， 可 以 使 用 你 自己 网 络 的 地 址 /域名 替换 。 注 意 ， 扫 描 其 它 网 络 不 一 定 合法 
一 些 网 络 管理 员 不 愿 看 到 未 申请 过 的 扫描 ， 会 产生 报 奶 。 因 此 ， 先 获得 允许 是 最 好 的 办 法 。 


如 果 是 为 了 测试 ，scanme.nmap.org 允许 被 扫描 。 但 仅 允许 使 用 Nmap meet 
At fT DOS 攻击。 为 保证 带宽 ， 对 该 主机 的 扫描 每 天 不 要 超过 12 次 。 如 果 这 个 免费 扫描 月 
务 被 滥 用 系统 将 崩溃 而 且 Nmap 将 报告 解析 指定 的 主机 名 /IP 地 址 失败 scanme.nmap.org 
这 些 免 费 扫描 要 求 也 适用 于 scanme2.nmap.org ^ scanme3.nmap.org 等 等 ， 虽 然 这 些 主机 
目前 还 不 存在 


nmap -v scanme.nmap.org 


这 个 选项 扫描 主机 scanme.nmap.org 中 所 有 的 保留 TCP 端口 。 选 项 -V 启用 细节 模式 。 


nmap -sS -0 scanme.nmap.org/24 


进行 秘密 SYN 扫描 ， 对 象 为 主机 Saznme 所 在 的 “C 类 "网 段 的 255 台 主 机 。 同 时 尝试 确定 
每 台 工作 主机 的 操作 系统 类 型 。 因 为 进行 SYN 扫描 和 操作 系统 检测 ， 这 个 扫描 需要 有 根 权 
FR. o 


nmap -sV -p 22> 53° 110° 143 > 4564 198.116.0-255.1-127 
进行 主机 列举 和 TCP 扫描 ， 对 象 为 B 类 188.116 网 段 中 255 个 8 位子 网 。 这 个 测试 用 于 确 


定 系 统 是 否 运行 了 sshd、DNS、imapd 或 4564 端口 。 如 果 这 些 端口 打开 ， 将 使 用 版 本 检测 
来 确定 哪 种 应 用 在 运行 。 


nmap -v -iR 100000 -PO -p 80 
随机 选择 100000 台 主 机 扫描 是 否 运行 Web 服务 器 (80 端口 )。 由 起 始 阶段 发 送 探测 报 文 来 确 
而 且 只 需 


X 主机 是 否 工作 非常 浪费 时 间 ， 探测 主机 的 一 个 端口 ， 因 此 使 用 -P0 禁止 对 主机 列 
表 o 


nmap -PO -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 
n ———À—u Mr dcsx—X J| n[ 
扫描 4096 * IP 地 址 ， 查 找 Web 服务 器 (不 ping)， 将 结果 以 Grep fe XML 格式 保存 。 


host -l company.com | cut -d -f 4 | nmap -v -iL - 


进行 DNS 区 域 传输 ， 以 发 现 company.com 中 的 主机 ， 然 后 将 IP 地 址 提供 给 Nmap。 上 述 命 
令 用 于 GNU/Linux -- 其 它 系统 进行 区 域 传输 时 有 不 同 的 命令 。 


++ > Bugs 


和 作者 一 样 ，Nmap 也 不 是 完美 的 ， 但 可 以 通过 发 送 Bug 报告 甚至 编写 补丁 使 其 更 加 完善 。 
如 果 Nmap 不 能 满足 要 求 ， 首 先 从 http://www.insecure.org/nmap/ 升级 最 新 版 本 。 如 果 总 问 
题 仍然 存在 ， 需 要 进行 调查 以 确定 问题 是 否 已 经 被 解决 。 在 http://seclists.org/ 尝 试 搜索 出 错 
消息 或 浏览 Nmap-dev 档案 ， 以 及 仔细 阅读 使 用 手册 。 如 果 问 题 还 是 不 能 解决 ， 发 送 Bug 
报告 至 nmap-dev@insecure.org。 在 报告 中 包含 所 有 有 关 问 题 的 信息 ， 以 及 所 使 用 的 Nmap 
版 本 、 操 作 系 统 版 本 。 问 题 报 告 以 及 Nmap 的 使 用 问题 发 送 给 nmap-dev@insecure.org 比 
直接 发 送 给 Gyodor 能 更 好 回答 。 


解决 Bug 的 代码 补丁 比 Bug 报告 更 受 欢迎 在 http://www.insecure.org/nmap/data/HACKING 
可 获得 建立 补丁 文件 的 基本 指令 。 补 丁 可 发 送 给 nmap-dev( 建 议 ) 或 直接 发 给 Fyodor 。 


Nmap 参考 指南 


TAS EA 


Fyodor fyodor@insecure.org (http://www.insecure.org) 


译 者 : Fei Yang fyang1024@gmail.com, Lei Li lilei_721@6611.0rg 近年 来 ， 上 百 的 人 们 为 
Nmap 作出 了 极 有 价值 的 贡献 ， 详 细 信 息 参 见 RE Nmap 一 起 发 布 的 CHANGELOG 文件 ， 也 
可 查看 http://www.insecure.org/nmap/nmap  changelog.html » 
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十 九 、 法 律 事项 (版 权 、 许 可 证 、 担 保 ( 缺 )、 出 口 限制 ) 


Unofficial Translation Disclaimer / 非 官 方 翻译 声明 


This is an unnofficial translation of the Nmap license details into [Finnish]. It was not written 
by Insecure.Com LLC, and does not legally state the distribution terms for Nmap -- only the 
original English text does that. However, we hope that this translation helps [Finish] 
speakers understand the Nmap license better. 


这 是 Nmap 许可 证 明细 的 非 官 方 的 中 文 译本 。 它 并 非 由 Insecure.Com LLC 编写 ， 不 是 有 法 
律 效力 的 Nmap 发 布 条 款 一 一 只 有 原 英 文 版 具有 此 法 律 效力 。 然 而 ， 我 们 希望 该 译本 帮助 中 
LAP E 好 地 理解 Nmap 许可 证 。 


在 http://www.insecure.org/nmap/ "T 3& 44 Nmap 的 最 新 版 本 。 


Nmap 安全 扫描 器 (C) 1996-2005 是 Insecure.Com LLC 的 产品 。 Nmap 也 是 Insecure.Com 
LLC 的 注册 商标 。 这 是 一 个 免费 软件 ， 按 照 免 费 软 件 联盟 V2.0 的 GNU 普通 公共 许可 证 的 规 
定 ， 可 以 重新 发 布 和 /或 修改 。 这 保证 用 户 在 一 定 的 条 件 下 可 以 使 用 、 人 和 修改 和 重新 发 布 此 软 
件 。 如 果 需 要 Nmap 内 入 专用 软件 ， 我 们 会 销售 相应 的 许可 证 (联系 
sales@insecure.com)。 很 多 安全 扫 描 器 厂商 已 经 获得 了 Nmap 技术 的 许可 证 ， 如 主机 发 

现 、 端 口 扫描 、OS 系统 检测 以 及 服务 /版 本 检测 等 技术 。 


注意 ，GPL 对 "衍生 工作 "有 重要 的 限制 ， 但 未 给 出 有 关 的 详细 描述 。 为 避免 误解 ， 我 们 认为 如 
果 某 个 应 用 进行 以 下 工作 时 被 认为 是 该 许可 证 的 “衍生 工作 ”: 


。 集成 Nmap 的 源 代码 
e 读 取 或 包含 Nmap 拷贝 权 的 数据 文件 ， 如 nmap-os-fingerprints 或 nmap-service-probes. 
。 执行 Nmap 并 解析 结果 (与 之 相反 的 是 ，shell 执行 或 执行 菜单 应 用 ， 仅 仅 显 示 原 始 Nmap 
输出 ， 则 不 是 衍生 工作 。) 
e 将 Nmap 集成 /包含 /组 合 至 一 个 专用 的 可 执行 安装 程序 如 由 InstallShield 生成 的 安装 
序 。 
。 将 Namp 链接 到 进行 上 述 工作 的 库 或 程序 中 。 


名 词 “Nmap” 包 含 了 Nmap 的 任何 部 分 以 及 衍生 工作 ， 因 此 不 仅 限 于 上 述 内 容 。 上 述 内 容 使 用 
了 一 些 常 见 的 例子 来 说 明 衍 生 工 作 。 这 些 限 制 仅 适 用 于 站 正 重新 发 布 Nmap 时 。 例 如 ， 不 禁 
止 开 发 和 销售 Nmap 的 前 端 ， 可 以 任意 发 布 ， 但 必须 说 明 从 http://www.insecure.org/nmap/ 
下 载 Nmap 


这 些 条 款 并 不 是 在 GPL 之 上 增加 限制 ， 只 是 为 了 明确 说 明 与 Nmap( 有 GPL 许可 证 ) 产品 有 关 
的 “衍生 工作 "。 这 类 似 于 Linus Torvalds 对 Linux 内 核 模 块 “ 衍 生 工作 "的 解释 。 我 们 的 解释 仅 
适用 于 Nmap - 不 适合 其 它 GPL 产品 。 


如 果 对 有 GPL 许可 证 限制 的 Nmap 应 用 于 非 GPL 工作 有 任何 问题 ， 我 们 将 提供 相关 的 帮 
Bho tok 述 条 款 所 述 ， 我 们 提供 了 可 选 的 许可 证 以 集成 Nmap 到 专用 应 用 和 设备 ， 这 些 合同 
已 被 销售 给 多 个 安全 厂商 ， 通 常 都 包含 了 永久 的 许可 证 以 及 提供 优先 支持 、 更 新 ， 并 资助 可 
持续 的 Nmap 技术 开发 。 请 发 送 邮 件 至 sales@insecure.com 以 获得 更 多 信息 。 


作为 GPL 的 一 个 特殊 例外 Insecure.Com LLC 授权 许可 链接 该 程序 的 代码 至 任何 版 本 的 
OpenSSL 库 ， 这 个 库 的 发 布 符合 等 同 于 Copying.OpenSSL 文件 中 包含 的 许可 证 ， 它 的 发 布 
同时 包含 了 两 个 内 容 。 除 OpenSSL 外 ， 在 任何 方面 都 必须 遵守 GNU GPL。 如 果 改 变 这 个 文 
件 ， 就 可 能 超出 该 文 件 的 版 本 ， 但 并 不 对 此 负责 。 


人 ST CEDE SUE Hid 与 上 述 条 款 不 同时 ， 该 可 选 的 许可 证 协定 具有 优先 
权 Nmap 软件 提供 源 代码 ， 这 是 因为 我 们 认为 用 户 有 权 在 运行 之 前 知道 程序 的 工作 内 容 ， 同 
时 也 使 


用 户 可 以 检查 软件 的 漏洞 (目前 还 未 发 现 ) 。 


源 代码 还 允许 被 移植 到 新 的 平台 修改 Bug 以 及 增加 新 功能 鼓励 用 户 向 fyodor@insecure.org 
发 送 更 新 ， 以 并 入 正式 的 发 布 中 。 发 送 这 些 更 新 至 Fyodor 或 Insecure.Org 开发 列表 ， 表 明 
允许 Fyodor 和 Insecure.Com LLC 具有 无 限 止 的 、 非 独 有 的 权限 来 使 用 、 修 改 和 重新 定义 这 
些 代码 的 许可 证 。 Nmap 将 一 直 以 开放 代码 的 方式 提供 ， 由 于 无 法 进行 代码 的 许可 证 重新 定 
义 从 而 可 能 导致 了 对 其 它 开放 软件 项 目的 破坏 问题 (如 KDEt NASM)， 这 一 点 很 重要 。 偶 尔 我 
们 会 向 第 三 方 提供 重新 定义 的 代码 许可 证 。 如 果 希 望 为 自己 的 贡献 说 明 一 个 特定 的 许可 证 条 
件 ， 在 发 送 时 指 明 


本 程序 的 发 布 只 是 为 了 应 用 ， 不 提供 任何 担保 ， IR AS aimee 用 性 
担保 。 在 http://www.gnu.org/copyleft/gpl.html 的 GNU 通用 公共 许可 证 或 Nmap 4j 
COPYING 文件 中 可 查看 更 多 细节 。 


还 需要 注意 ，Nmap 已 经 导致 了 一 些 编写 拙劣 的 应 用 程序 、TCP/IP 栈 甚至 操作 系统 的 崩溃 。 
Nmap 不 能 用 于 破坏 关键 系统 ， 除 非 准备 好 系统 受到 崩溃 的 影响 。Nmap 可 能 会 造成 系统 或 网 
络 的 前 溃 但 我 们 不 对 Nmap 可 能 产生 的 破坏 和 问题 负 任何 责任 。 


由 于 前 溃 的 风险 以 及 一 些 攻 击 者 在 攻击 系统 前 使 用 Nmap 进行 检测 ， 因 此 一 些 管理 员 对 此 感 
到 不 安 ， 报 恕 他 们 的 系统 受到 扫描 。 因 此 ， 建 议 在 扫描 之 间 获 得 允许 ， 哪 怕 是 对 一 个 网 络 很 
轻微 的 扫描 。 


为 安全 起 见 ， 不 要 将 Nmap 安装 在 有 特殊 权限 的 环境 (如 suid root)。 


这 个 产品 包含 了 由 Apache Software Foundation 开发 的 软件 ， 发 布 时 还 包含 了 Libpcap 可 移 
là 包 捕获 器 nd 改进 版 本 。Windows 版 的 Nmap 使 用 了 源 于 WinPcap library 的 libpcap。 正 常 
的 描述 支持 由 PCRE library 提供 ， 这 也 是 一 个 开放 源码 软件 ， 由 Philip Hazel 编写 。 特 定 的 
原 网 络 功能 使 用 了 Libdnet 网 络 库 ， 由 Dug Song 编写 ，Nmap 发 布 时 带 有 一 个 改进 版 本 。 
Nmap 可 以 与 OpenSSL 加 密 工 具 库 链接 用 于 SSL 版 本 检测 。 所 有 本 段 描述 的 第 三 方 软件 在 
遵守 BSD 风格 软 件 许可 证 下 均 可 以 免费 发 布 。 


美国 出 口 控制 : Insecure.Com LLC 认为 Nmap 归 入 美国 ECCN( 出 口 控制 分 类 编码 ) 5D922 © 
这 个 分 类 称 为 “不 受 5D002 控制 的 信息 安全 软件 "。 这 个 分 类 的 唯一 限制 是 ATQ 3 xL) ， 
这 个 限制 几乎 适用 于 所 有 的 产品 ， 禁 止 出 口 到 一 些 国 家 ， 如 伊朗 和 朝鲜 。 因 此 ， 出 口 Nmap 
不 需要 任 何 特 殊 的 许可 证 、 允 许 或 其 它 政府 授权 。 


